Merge branch 'development_preview'

49 files changed, 1642 insertions, 246 deletions

diff --git a/id/ConfigWebTool/pom.xml b/id/ConfigWebTool/pom.xml
index e39ef7231..b9c4d0651 100644
--- a/id/ConfigWebTool/pom.xml
+++ b/id/ConfigWebTool/pom.xml
@@ -3,7 +3,7 @@
     <parent>
         <groupId>MOA</groupId>
         <artifactId>id</artifactId>
-        <version>4.1.2</version>
+        <version>4.1.3</version>
     </parent>
 
     <modelVersion>4.0.0</modelVersion>
diff --git a/id/history.txt b/id/history.txt
index fed2ec0a1..625831f71 100644
--- a/id/history.txt
+++ b/id/history.txt
@@ -1,5 +1,22 @@
 Dieses Dokument zeigt die Veränderungen und Erweiterungen von MOA-ID auf.

 

+Version MOA-ID Release 4.1.3: Änderungen seit Version MOA-ID 4.1.2

+  - Änderungen

+    - SSRF Problem beim SAML1 Requestparameter behoben

+  - Update von Libraries

+     > org.springframework 5.2.8.RELEASE

+     > org.springframework.data.spring-data-jpa 2.3.3.RELEASE

+     > org.springframework.data.spring-data-redis 2.3.3.RELEASE

+     > org.hibernate:hibernate-core 5.4.21.Final

+     > mysql-connector 8.0.21

+     > fasterxml:jackson 2.11.2

+     > commons-lang3 3.11

+     > commons-text 1.9

+     > commons-fileupload 1.4

+     > postgresql 42.2.16

+     > org.apache.commons-commons-pool2 2.8.1

+     > redis.clients.jedis 3.3.0

+

 Version MOA-ID Release 4.1.2: Änderungen seit Version MOA-ID 4.1.1

   - Änderungen

     - Anpassung der E-ID Proxy Implementierung um Duplikate im Applikationsregister zu verhindern

diff --git a/id/moa-id-webgui/pom.xml b/id/moa-id-webgui/pom.xml
index 8e7ce27b2..e01f4a894 100644
--- a/id/moa-id-webgui/pom.xml
+++ b/id/moa-id-webgui/pom.xml
@@ -3,7 +3,7 @@
     <parent>
         <groupId>MOA</groupId>
         <artifactId>id</artifactId>
-        <version>4.1.2</version>
+        <version>4.1.3</version>
     </parent>
   
   <modelVersion>4.0.0</modelVersion>
diff --git a/id/moa-spss-container/pom.xml b/id/moa-spss-container/pom.xml
index 47ae092f2..be09e355f 100644
--- a/id/moa-spss-container/pom.xml
+++ b/id/moa-spss-container/pom.xml
@@ -6,7 +6,7 @@
   <parent>
     <groupId>MOA</groupId>
     <artifactId>id</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   <groupId>MOA.id</groupId>
   <artifactId>moa-spss-container</artifactId>
diff --git a/id/oa/pom.xml b/id/oa/pom.xml
index ee906941c..767df388e 100644
--- a/id/oa/pom.xml
+++ b/id/oa/pom.xml
@@ -4,7 +4,7 @@
     <parent>
   		<groupId>MOA</groupId>
     	<artifactId>id</artifactId>
-    	<version>4.1.2</version>
+    	<version>4.1.3</version>
   	</parent>
     
     <modelVersion>4.0.0</modelVersion>
diff --git a/id/pom.xml b/id/pom.xml
index ed6dc3610..269175b0a 100644
--- a/id/pom.xml
+++ b/id/pom.xml
@@ -3,7 +3,7 @@
     <parent>
         <groupId>MOA</groupId>
         <artifactId>MOA</artifactId>
-        <version>4.1.2</version>
+        <version>4.1.3</version>
     </parent>
 
     <modelVersion>4.0.0</modelVersion>
diff --git a/id/readme_4.1.3.txt b/id/readme_4.1.3.txt
new file mode 100644
index 000000000..d1bf6834c
--- /dev/null
+++ b/id/readme_4.1.3.txt
@@ -0,0 +1,484 @@
+===============================================================================
+MOA ID Version Release 4.1.3 - Wichtige Informationen zur Installation
+===============================================================================
+
+-------------------------------------------------------------------------------
+A. Neuerungen/Änderungen
+-------------------------------------------------------------------------------
+
+Mit MOA ID Version 4.1.3 unterstützt MOA-ID nun wieder Authentifizierung mittels
+Bürgerkarte, Handy-Signatur oder eIDAS als auch den Betrieb als SAML1 Proxy zum 
+zentralen E-ID System entsprechend dem neuen elektronischen Identitätsnachweis. 
+Im Detail umfasst das folgende Neuerungen und Änderungen (siehe auch 
+history.txt im gleichen Verzeichnis).
+   
+ - Änderungen
+   - SSRF Problem beim SAML1 Requestparameter behoben
+   - Update von Libraries
+
+Hinweis: Vor einem Parallelbetrieb von MOA-ID und MOA-SPSS als eigenständige Web-Applikationen in der gleichen
+         Apache Tomcat Instanz wird seit Java >= 9 abgeraten da es potentiell zu Problem mit dem Java Classloader
+         im Tomcat Appliactionsserver kommen kann. 
+
+-------------------------------------------------------------------------------
+B. Durchführung eines Updates
+-------------------------------------------------------------------------------
+
+Es wird generell eine Neuinstallation lt. Handbuch empfohlen! Dennoch ist auch
+eine Aktualisierung bestehender Installationen möglich. Je nachdem von welcher
+MOA-ID Version ausgegangen wird ergibt sich eine Kombination der nachfolgend 
+angebebenen Updateschritte.
+
+Hinweis: Die bestehende Konfiguration von MOA-ID 3.x.x kann weitestgehend 
+übernommen werden da mit dem Update auf die Version 4.0.x viele Konfigurationsparameter 
+nicht mehr erforderlich sind und somit (sofern vorhanden) ignoriert werden. Somit ist 
+ein Löschen der bestehenden Konfiguration nicht zwingend notwendig.    
+Für den Betrieb als E-ID Proxy muss in diesem Fall nur die Konfiguration für das das neue 
+E-ID Proxy Authentifizierungsmodul hinzugefügt wurde.    
+
+Hinweis: Wenn Sie die bestehende Konfiguration von MOA-ID 2.x.x in MOA-ID 4.0.x
+reimportieren möchten, so muss diese vor dem Update mit Hilfe der import/export
+Funktion der grafischen Konfigurationsoberfläche in eine Datei exportiert werden.
+Diese Datei dient dann als Basis für den Import in MOA-ID 4.0.x. 
+
+...............................................................................
+B.0 Durchführung eines Updates von Version 4.1.2 auf Version 4.1.3
+...............................................................................
+1. Stoppen Sie den Tomcat, in dem Ihre bisherige Installation betrieben wird.
+   Fertigen Sie eine Sicherungskopie Ihrer kompletten Tomcat-Installation an.
+
+2. Entpacken Sie die Distribution von MOA-ID-Auth (moa-id-auth-4.1.3.zip) in
+   ein temporäres Verzeichnis, in weiterer Folge als MOA_ID_AUTH_INST 
+   bezeichnet.
+
+3. Wechseln Sie in jenes Verzeichnis, das die Webapplikation von MOA ID Auth
+   beinhaltet (für gewöhnlich ist dieses Verzeichnis CATALINA_HOME_ID/webapps,
+   wobei CATALINA_HOME_ID für das Basisverzeichnis der Tomcat-Installation 
+   für MOA ID steht). Löschen Sie darin sowohl die Dateien moa-id-auth.war 
+   als auch das komplette Verzeichnis moa-id-auth. 
+
+4 Umstellung auf Java JDK 9
+    Die 'JAVA_HOME\jre\lib\ext' und die 'CATALINA_HOME_ID\endorsed' wird in Java 9 
+    nicht mehr unterstützt und entsprechende Referenzen müssen aus den Start-Scripts
+    entfernt werden. Ab MOA-ID 3.3.2 sind die Bibliotheken, welche früher in 
+    den beiden Verzeichnissen hinterlegt waren, direkt in MOA-ID integriert. 
+    Falls sie eine Java Version < 9 verwenden und aktuell Bibliotheken in diesen
+    Verzeichnissen abgelegt haben müssen diese aktualisiert werden:
+      
+  4.1. Erstellen Sie eine Sicherungskopie aller "iaik*.jar"-Dateien im Verzeichnis
+	   JAVA_HOME\jre\lib\ext und loeschen Sie diese Dateien danach.
+	
+  4.2. Kopieren Sie alle Dateien aus dem Verzeichnis MOA_ID_AUTH_INST\ext in das 
+   Verzeichnis	JAVA_HOME\jre\lib\ext (Achtung: Java 1.4.x wird nicht mehr 
+   unterstuetzt).
+
+5. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-auth.war nach
+   CATALINA_HOME_ID/webapps.
+
+6. Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth
+   Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
+6.1 SAML1 Requestparameter Validierung
+    >configuration.validate.saml1.parameter.strict
+
+7. Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
+    Logging von MOA ID beim Einlesen der Konfiguration.
+
+...............................................................................
+B.1 Durchführung eines Updates von Version 4.1.x auf Version 4.1.3
+...............................................................................
+1. Stoppen Sie den Tomcat, in dem Ihre bisherige Installation betrieben wird.
+   Fertigen Sie eine Sicherungskopie Ihrer kompletten Tomcat-Installation an.
+
+2. Entpacken Sie die Distribution von MOA-ID-Auth (moa-id-auth-4.1.3.zip) in
+   ein temporäres Verzeichnis, in weiterer Folge als MOA_ID_AUTH_INST 
+   bezeichnet.
+
+3. Wechseln Sie in jenes Verzeichnis, das die Webapplikation von MOA ID Auth
+   beinhaltet (für gewöhnlich ist dieses Verzeichnis CATALINA_HOME_ID/webapps,
+   wobei CATALINA_HOME_ID für das Basisverzeichnis der Tomcat-Installation 
+   für MOA ID steht). Löschen Sie darin sowohl die Dateien moa-id-auth.war 
+   als auch das komplette Verzeichnis moa-id-auth. 
+
+4 Umstellung auf Java JDK 9
+    Die 'JAVA_HOME\jre\lib\ext' und die 'CATALINA_HOME_ID\endorsed' wird in Java 9 
+    nicht mehr unterstützt und entsprechende Referenzen müssen aus den Start-Scripts
+    entfernt werden. Ab MOA-ID 3.3.2 sind die Bibliotheken, welche früher in 
+    den beiden Verzeichnissen hinterlegt waren, direkt in MOA-ID integriert. 
+    Falls sie eine Java Version < 9 verwenden und aktuell Bibliotheken in diesen
+    Verzeichnissen abgelegt haben müssen diese aktualisiert werden:
+      
+  4.1. Erstellen Sie eine Sicherungskopie aller "iaik*.jar"-Dateien im Verzeichnis
+	   JAVA_HOME\jre\lib\ext und loeschen Sie diese Dateien danach.
+	
+  4.2. Kopieren Sie alle Dateien aus dem Verzeichnis MOA_ID_AUTH_INST\ext in das 
+   Verzeichnis	JAVA_HOME\jre\lib\ext (Achtung: Java 1.4.x wird nicht mehr 
+   unterstuetzt).
+
+5. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-auth.war nach
+   CATALINA_HOME_ID/webapps.
+   
+6. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-configuration.war nach
+   CATALINA_HOME_ID/webapps.
+
+7. Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth
+   Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
+7.1 Anbindung an das zentrale E-ID System   
+    > modules.eidproxyauth.endpoint.appreginfo.enable
+7.2 SAML1 Requestparameter Validierung
+    >configuration.validate.saml1.parameter.strict
+
+8. Geänderte GUI Templates
+    > MOA_ID_AUTH_INST/conf/moa-id/htmlTemplates/css_template.css
+    > MOA_ID_AUTH_INST/conf/moa-id/htmlTemplates/javascript_tempalte.js
+   
+9. Neue A-Trust Zertifikate für Handy-Signatur Anmeldung
+9.1 Kopieren sie folgende Zertifikate in den jeweiligen TrustStore ihrer MOA-ID Konfiguration
+    > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenOhneTestkarten/A-Trust-Root-07.cer
+    > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenOhneTestkarten/a-sign-Premium-Sig-07.cer
+    > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenOhneTestkarten/a-sign-Premium-Mobile-07.cer    
+    > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/A-Trust-Root-07.cer
+    > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/a-sign-Premium-Sig-07.cer
+    > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/a-sign-Premium-Mobile-07.cer
+        
+9.2 Kopieren sie folgende Zertifikate in den CertStore ihrer MOA-ID Konfiguration
+    > MOA_ID_AUTH_INST/conf/moa-spss/certstore/toBeAdded/A-Trust-Root-07.cer
+    > MOA_ID_AUTH_INST/conf/moa-spss/certstore/toBeAdded/a-sign-Premium-Sig-07.cer
+    > MOA_ID_AUTH_INST/conf/moa-spss/certstore/toBeAdded/a-sign-Premium-Mobile-07.cer
+       
+10. Zusätzliche Funktionalität für den MOA E-ID Proxy Mode:
+     Mit der Version 4.1.2 des MOA E-ID Proxy wurde die eindeutigen Applikationsidentifier
+     von Onlineapplikationen am MOA E-ID Proxy, welche im zentralen Applikationsregister 
+     registriert werden müssen, geändert um die Eindeutigkeit im Applikationsregister gewährleisten
+     zu können. Somit können die Unique Identifier (PublicUrlPrefix) aus der MOA E-ID Proxy 
+     konfiguration nicht mehr direkt für die Registriergung am E-ID System verwendet werden.
+     Der MOA E-ID Proxy bietet unter der URL $MOA_EID_PROXY$/eid/getappregid (z.B. 
+     https://demo.egiz.gv.at/moa-id-auth/eid/getappregid?OA=https://labda.iaik.tugraz.at:5553/demologin/test1)
+     einen Endpunkt an über der eindeute Identifier für die Eintragung ins Applikationsregister abgefragt
+     werde kann. Als Abfrageparameter dienen die selben Parameter wie sie auch für einen SAML1 
+     Authentifizierungsrequest verwendet werden (siehe Handbuch 
+     https://apps.egiz.gv.at/handbooks/moa-id/handbook/protocol/protocol.html#saml1_startauth).
+     Eine Abfrage ist jedoch nur für am MOA E-ID Proxy registrierte Onlineapplikationen möglich. 
+    
+   
+11. Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
+    Logging von MOA ID beim Einlesen der Konfiguration.
+
+...............................................................................
+B.2 Durchführung eines Updates von Version 4.0.0 auf Version 4.1.3
+...............................................................................
+1. Exportieren Sie die aktuelle Konfiguration von MOA-ID mit Hilfe der import/export
+   Funktion der grafischen Konfigurationsoberfläche in eine Datei. Dieser Export 
+   dient nur als Backup und wird für den Updateprozess nicht zwingend benötigt.
+
+2. Stoppen Sie den Tomcat, in dem Ihre bisherige Installation betrieben wird.
+   Fertigen Sie eine Sicherungskopie Ihrer kompletten Tomcat-Installation an.
+
+3. Entpacken Sie die Distribution von MOA-ID-Auth (moa-id-auth-4.1.3.zip) in
+   ein temporäres Verzeichnis, in weiterer Folge als MOA_ID_AUTH_INST 
+   bezeichnet.
+
+4. Wechseln Sie in jenes Verzeichnis, das die Webapplikation von MOA ID Auth
+   beinhaltet (für gewöhnlich ist dieses Verzeichnis CATALINA_HOME_ID/webapps,
+   wobei CATALINA_HOME_ID für das Basisverzeichnis der Tomcat-Installation 
+   für MOA ID steht). Löschen Sie darin sowohl die Dateien moa-id-auth.war 
+   als auch das komplette Verzeichnis moa-id-auth. 
+
+5 Umstellung auf Java JDK 9
+    Die 'JAVA_HOME\jre\lib\ext' und die 'CATALINA_HOME_ID\endorsed' wird in Java 9 
+    nicht mehr unterstützt und entsprechende Referenzen müssen aus den Start-Scripts
+    entfernt werden. Ab MOA-ID 3.3.2 sind die Bibliotheken, welche früher in 
+    den beiden Verzeichnissen hinterlegt waren, direkt in MOA-ID integriert. 
+    Falls sie eine Java Version < 9 verwenden und aktuell Bibliotheken in diesen
+    Verzeichnissen abgelegt haben müssen diese aktualisiert werden:
+      
+  5.1. Erstellen Sie eine Sicherungskopie aller "iaik*.jar"-Dateien im Verzeichnis
+	   JAVA_HOME\jre\lib\ext und loeschen Sie diese Dateien danach.
+	
+  5.2. Kopieren Sie alle Dateien aus dem Verzeichnis MOA_ID_AUTH_INST\ext in das 
+   Verzeichnis	JAVA_HOME\jre\lib\ext (Achtung: Java 1.6.x wird nicht mehr 
+   unterstuetzt).
+
+6. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-auth.war nach
+   CATALINA_HOME_ID/webapps.
+   
+7. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-configuration.war nach
+   CATALINA_HOME_ID/webapps.
+
+8. Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth
+   Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
+8.1 Anbindung an das zentrale E-ID System   
+    > modules.eidproxyauth.endpoint.appreginfo.enable
+8.2 SAML1 Requestparameter Validierung
+    >configuration.validate.saml1.parameter.strict
+    
+9. Geänderte GUI Templates
+    > MOA_ID_AUTH_INST/conf/moa-id/htmlTemplates/css_template.css
+    > MOA_ID_AUTH_INST/conf/moa-id/htmlTemplates/javascript_tempalte.js
+   
+10. Neue A-Trust Zertifikate für Handy-Signatur Anmeldung
+10.1 Kopieren sie folgende Zertifikate in den jeweiligen TrustStore ihrer MOA-ID Konfiguration
+     > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenOhneTestkarten/A-Trust-Root-07.cer
+     > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenOhneTestkarten/a-sign-Premium-Sig-07.cer
+     > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenOhneTestkarten/a-sign-Premium-Mobile-07.cer    
+     > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/A-Trust-Root-07.cer
+     > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/a-sign-Premium-Sig-07.cer
+     > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/a-sign-Premium-Mobile-07.cer
+        
+10.2 Kopieren sie folgende Zertifikate in den CertStore ihrer MOA-ID Konfiguration
+     > MOA_ID_AUTH_INST/conf/moa-spss/certstore/toBeAdded/A-Trust-Root-07.cer
+     > MOA_ID_AUTH_INST/conf/moa-spss/certstore/toBeAdded/a-sign-Premium-Sig-07.cer
+     > MOA_ID_AUTH_INST/conf/moa-spss/certstore/toBeAdded/a-sign-Premium-Mobile-07.cer
+       
+11. Zusätzliche Funktionalität für den MOA E-ID Proxy Mode:
+     Mit der Version 4.1.2 des MOA E-ID Proxy wurde die eindeutigen Applikationsidentifier
+     von Onlineapplikationen am MOA E-ID Proxy, welche im zentralen Applikationsregister 
+     registriert werden müssen, geändert um die Eindeutigkeit im Applikationsregister gewährleisten
+     zu können. Somit können die Unique Identifier (PublicUrlPrefix) aus der MOA E-ID Proxy 
+     konfiguration nicht mehr direkt für die Registriergung am E-ID System verwendet werden.
+     Der MOA E-ID Proxy bietet unter der URL $MOA_EID_PROXY$/eid/getappregid (z.B. 
+     https://demo.egiz.gv.at/moa-id-auth/eid/getappregid?OA=https://labda.iaik.tugraz.at:5553/demologin/test1)
+     einen Endpunkt an über der eindeute Identifier für die Eintragung ins Applikationsregister abgefragt
+     werde kann. Als Abfrageparameter dienen die selben Parameter wie sie auch für einen SAML1 
+     Authentifizierungsrequest verwendet werden (siehe Handbuch 
+     https://apps.egiz.gv.at/handbooks/moa-id/handbook/protocol/protocol.html#saml1_startauth).
+     Eine Abfrage ist jedoch nur für am MOA E-ID Proxy registrierte Onlineapplikationen möglich.    
+   
+12. Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
+    Logging von MOA ID beim Einlesen der Konfiguration.
+
+
+...............................................................................
+B.3 Durchführung eines Updates von Version 3.4.x auf Version 4.1.3
+...............................................................................
+1. Exportieren Sie die aktuelle Konfiguration von MOA-ID mit Hilfe der import/export
+   Funktion der grafischen Konfigurationsoberfläche in eine Datei. Dieser Export 
+   dient nur als Backup und wird für den Updateprozess nicht zwingend benötigt.
+
+2. Stoppen Sie den Tomcat, in dem Ihre bisherige Installation betrieben wird.
+   Fertigen Sie eine Sicherungskopie Ihrer kompletten Tomcat-Installation an.
+
+3. Entpacken Sie die Distribution von MOA-ID-Auth (moa-id-auth-4.1.3.zip) in
+   ein temporäres Verzeichnis, in weiterer Folge als MOA_ID_AUTH_INST 
+   bezeichnet.
+
+4. Wechseln Sie in jenes Verzeichnis, das die Webapplikation von MOA ID Auth
+   beinhaltet (für gewöhnlich ist dieses Verzeichnis CATALINA_HOME_ID/webapps,
+   wobei CATALINA_HOME_ID für das Basisverzeichnis der Tomcat-Installation 
+   für MOA ID steht). Löschen Sie darin sowohl die Dateien moa-id-auth.war 
+   als auch das komplette Verzeichnis moa-id-auth. 
+
+5 Umstellung auf Java JDK 9
+    Die 'JAVA_HOME\jre\lib\ext' und die 'CATALINA_HOME_ID\endorsed' wird in Java 9 
+    nicht mehr unterstützt und entsprechende Referenzen müssen aus den Start-Scripts
+    entfernt werden. Ab MOA-ID 3.3.2 sind die Bibliotheken, welche früher in 
+    den beiden Verzeichnissen hinterlegt waren, direkt in MOA-ID integriert. 
+    Falls sie eine Java Version < 9 verwenden und aktuell Bibliotheken in diesen
+    Verzeichnissen abgelegt haben müssen diese aktualisiert werden:
+      
+  5.1. Erstellen Sie eine Sicherungskopie aller "iaik*.jar"-Dateien im Verzeichnis
+	   JAVA_HOME\jre\lib\ext und loeschen Sie diese Dateien danach.
+	
+  5.2. Kopieren Sie alle Dateien aus dem Verzeichnis MOA_ID_AUTH_INST\ext in das 
+   Verzeichnis	JAVA_HOME\jre\lib\ext (Achtung: Java 1.6.x wird nicht mehr 
+   unterstuetzt).
+
+6. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-auth.war nach
+   CATALINA_HOME_ID/webapps.
+   
+7. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-configuration.war nach
+   CATALINA_HOME_ID/webapps.
+   
+8. Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth
+   Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
+8.1 Anbindung an das zentrale E-ID System   
+    > modules.eidproxyauth.keystore.path=
+    > modules.eidproxyauth.keystore.password=
+    > modules.eidproxyauth.metadata.sign.password=password
+    > modules.eidproxyauth.metadata.sign.alias=pvp_metadata 
+    > modules.eidproxyauth.request.sign.password=password
+    > modules.eidproxyauth.request.sign.alias=pvp_assertion  
+    > modules.eidproxyauth.response.encryption.password=password
+    > modules.eidproxyauth.response.encryption.alias=pvp_assertion  
+    > modules.eidproxyauth.EID.trustprofileID=eid_metadata
+    > modules.eidproxyauth.endpoint.appreginfo.enable=true
+8.2 SAML1 Requestparameter Validierung
+    >configuration.validate.saml1.parameter.strict
+
+9. Update der MOA-SPSS Konfiguration
+    a.) Erstellen Sie eine Sicherungskopie der Verzeichnisse:
+       - CATALINA_HOME\conf\moa-spss     
+    b.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-spss\trustProfiles\EID_metadata
+         in das Verzeichnis CATALINA_HOME\conf\moa-spss\trustProfiles\EID_metadata           
+    c.) Kopieren Sie die Datei MOA_ID_INST_AUTH\conf\moa-spss\SampleMOASPSSConfiguration.xml 
+         in das Verzeichnis CATALINA_HOME\conf\moa-spss\ , oder aktualisieren Sie ihre aktuell
+         verwendete MOA-SPSS Konfiguration manuell. Folgende Teile wurden ergänzt:
+           ...
+           <cfg:Id>eid_metadata</cfg:Id>
+					    <cfg:TrustAnchorsLocation>trustProfiles/EID_metadata</cfg:TrustAnchorsLocation>
+				   </cfg:TrustProfile>
+           ...
+    d.) Kopieren sie folgende Zertifikate in den jeweiligen TrustStore ihrer MOA-ID Konfiguration
+        > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenOhneTestkarten/A-Trust-Root-07.cer
+        > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenOhneTestkarten/a-sign-Premium-Sig-07.cer
+        > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenOhneTestkarten/a-sign-Premium-Mobile-07.cer    
+        > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/A-Trust-Root-07.cer
+        > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/a-sign-Premium-Sig-07.cer
+        > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/a-sign-Premium-Mobile-07.cer        
+    e.) Kopieren sie folgende Zertifikate in den CertStore ihrer MOA-ID Konfiguration
+        > MOA_ID_AUTH_INST/conf/moa-spss/certstore/toBeAdded/A-Trust-Root-07.cer
+        > MOA_ID_AUTH_INST/conf/moa-spss/certstore/toBeAdded/a-sign-Premium-Sig-07.cer
+        > MOA_ID_AUTH_INST/conf/moa-spss/certstore/toBeAdded/a-sign-Premium-Mobile-07.cer
+                      
+10.  Update the MOA-ID Konfiguration via Web-basierten Konfigurationstool
+     Diese Schitte können erst nach der Installation und dem Start der Applikation
+     moa-id-configuration.war durchgeführt werden
+10.1 Anbindung das zentrale E-ID System 
+    a.) Bekanntgabe von Endpunkten (Produktiv, Test, ... ) der zu verwendenten
+        IDPs des zentralen E-ID Systems
+        
+    b.) Auswahl des gewünschte EndPunkts je Online-Applikation
+        sofern im Schritt a. mehr als Ein Endpunkt konfiguriert wurde. 
+        Hinweis: Als Default wird immer der Erste im Schritt a. hinterlegte Endpunkt verwendet  
+
+11. Geänderte GUI Templates
+     > MOA_ID_AUTH_INST/conf/moa-id/htmlTemplates/css_template.css
+     > MOA_ID_AUTH_INST/conf/moa-id/htmlTemplates/javascript_tempalte.js        
+        
+12. Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
+    Logging von MOA ID beim Einlesen der Konfiguration.
+
+
+...............................................................................
+B.4 Durchführung eines Updates von Version 3.x.x auf Version 4.1.3
+...............................................................................
+1. Exportieren Sie die aktuelle Konfiguration von MOA-ID mit Hilfe der import/export
+   Funktion der grafischen Konfigurationsoberfläche in eine Datei. Dieser Export 
+   dient nur als Backup und wird für den Updateprozess nicht zwingend benötigt.
+
+2. Stoppen Sie den Tomcat, in dem Ihre bisherige Installation betrieben wird.
+   Fertigen Sie eine Sicherungskopie Ihrer kompletten Tomcat-Installation an.
+
+3. Entpacken Sie die Distribution von MOA-ID-Auth (moa-id-auth-4.1.2.zip) in
+   ein temporäres Verzeichnis, in weiterer Folge als MOA_ID_AUTH_INST 
+   bezeichnet.
+
+4. Wechseln Sie in jenes Verzeichnis, das die Webapplikation von MOA ID Auth
+   beinhaltet (für gewöhnlich ist dieses Verzeichnis CATALINA_HOME_ID/webapps,
+   wobei CATALINA_HOME_ID für das Basisverzeichnis der Tomcat-Installation 
+   für MOA ID steht). Löschen Sie darin sowohl die Dateien moa-id-auth.war 
+   als auch das komplette Verzeichnis moa-id-auth. 
+
+5 Umstellung auf Java JDK 9
+    Die 'JAVA_HOME\jre\lib\ext' und die 'CATALINA_HOME_ID\endorsed' wird in Java 9 
+    nicht mehr unterstützt und entsprechende Referenzen müssen aus den Start-Scripts
+    entfernt werden. Ab MOA-ID 3.3.2 sind die Bibliotheken, welche früher in 
+    den beiden Verzeichnissen hinterlegt waren, direkt in MOA-ID integriert. 
+    Falls sie eine Java Version < 9 verwenden und aktuell Bibliotheken in diesen
+    Verzeichnissen abgelegt haben müssen diese aktualisiert werden:
+      
+  5.1. Erstellen Sie eine Sicherungskopie aller "iaik*.jar"-Dateien im Verzeichnis
+	   JAVA_HOME\jre\lib\ext und loeschen Sie diese Dateien danach.
+	
+  5.2. Kopieren Sie alle Dateien aus dem Verzeichnis MOA_ID_AUTH_INST\ext in das 
+   Verzeichnis	JAVA_HOME\jre\lib\ext (Achtung: Java 1.6.x wird nicht mehr 
+   unterstuetzt).
+  
+  5.3. Erstellen Sie eine Sicherungskopie aller "iaik*.jar"-Dateien im Verzeichnis
+	   CATALINA_HOME_ID\endorsed und loeschen Sie diese Dateien danach.
+   
+  5.4 Kopieren Sie alle Dateien aus dem Verzeichnis MOA_ID_AUTH_INST\endorsed in das 
+    Verzeichnis	CATALINA_HOME_ID\endorsed.   
+   
+6. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-auth.war nach
+   CATALINA_HOME_ID/webapps.
+   
+7. Kopieren Sie die Datei MOA_ID_AUTH_INST/moa-id-configuration.war nach
+   CATALINA_HOME_ID/webapps.
+   
+8. Hinzufügen der zusätzlichen Konfigurationsparameter in der MOA-ID-Auth
+   Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
+8.1 Anbindung an das zentrale E-ID System   
+    > modules.eidproxyauth.keystore.path=
+    > modules.eidproxyauth.keystore.password=
+    > modules.eidproxyauth.metadata.sign.password=password
+    > modules.eidproxyauth.metadata.sign.alias=pvp_metadata 
+    > modules.eidproxyauth.request.sign.password=password
+    > modules.eidproxyauth.request.sign.alias=pvp_assertion  
+    > modules.eidproxyauth.response.encryption.password=password
+    > modules.eidproxyauth.response.encryption.alias=pvp_assertion  
+    > modules.eidproxyauth.EID.trustprofileID=eid_metadata
+    > modules.eidproxyauth.endpoint.appreginfo.enable=true
+8.2 SAML1 Requestparameter Validierung
+    >configuration.validate.saml1.parameter.strict
+    
+9. Update der MOA-SPSS Konfiguration
+    a.) Erstellen Sie eine Sicherungskopie der Verzeichnisse:
+       - CATALINA_HOME\conf\moa-spss     
+    b.) Kopieren Sie die Dateien aus dem Verzeichnis MOA_ID_INST_AUTH\conf\moa-spss\trustProfiles\EID_metadata
+         in das Verzeichnis CATALINA_HOME\conf\moa-spss\trustProfiles\EID_metadata           
+    c.) Kopieren Sie die Datei MOA_ID_INST_AUTH\conf\moa-spss\SampleMOASPSSConfiguration.xml 
+         in das Verzeichnis CATALINA_HOME\conf\moa-spss\ , oder aktualisieren Sie ihre aktuell
+         verwendete MOA-SPSS Konfiguration manuell. Folgende Teile wurden ergänzt:
+           ...
+           <cfg:Id>eid_metadata</cfg:Id>
+					    <cfg:TrustAnchorsLocation>trustProfiles/EID_metadata</cfg:TrustAnchorsLocation>
+				   </cfg:TrustProfile>
+           ...
+    d.) Kopieren sie folgende Zertifikate in den jeweiligen TrustStore ihrer MOA-ID Konfiguration
+        > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenOhneTestkarten/A-Trust-Root-07.cer
+        > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenOhneTestkarten/a-sign-Premium-Sig-07.cer
+        > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenOhneTestkarten/a-sign-Premium-Mobile-07.cer    
+        > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/A-Trust-Root-07.cer
+        > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/a-sign-Premium-Sig-07.cer
+        > MOA_ID_AUTH_INST/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/a-sign-Premium-Mobile-07.cer        
+    e.) Kopieren sie folgende Zertifikate in den CertStore ihrer MOA-ID Konfiguration
+        > MOA_ID_AUTH_INST/conf/moa-spss/certstore/toBeAdded/A-Trust-Root-07.cer
+        > MOA_ID_AUTH_INST/conf/moa-spss/certstore/toBeAdded/a-sign-Premium-Sig-07.cer
+        > MOA_ID_AUTH_INST/conf/moa-spss/certstore/toBeAdded/a-sign-Premium-Mobile-07.cer
+           
+           
+10.  Update the MOA-ID Konfiguration via Web-basierten Konfigurationstool
+     Diese Schitte können erst nach der Installation und dem Start der Applikation
+     moa-id-configuration.war durchgeführt werden
+10.1 Anbindung das zentrale E-ID System 
+    a.) Bekanntgabe von Endpunkten (Produktiv, Test, ... ) der zu verwendenten
+        IDPs des zentralen E-ID Systems
+        
+    b.) Auswahl des gewünschte EndPunkts je Online-Applikation
+        sofern im Schritt a. mehr als Ein Endpunkt konfiguriert wurde. 
+        Hinweis: Als Default wird immer der Erste im Schritt a. hinterlegte Endpunkt verwendet  
+
+11. Geänderte GUI Templates
+     > MOA_ID_AUTH_INST/conf/moa-id/htmlTemplates/css_template.css
+     > MOA_ID_AUTH_INST/conf/moa-id/htmlTemplates/javascript_tempalte.js        
+                
+        
+12. Optionale Updates:
+12.1. Die mySQL Treiber 'com.mysql.jdbc.Drive' und 'org.hibernate.dialect.MySQLDialect'
+      sind deprecated für aktuelle mySQL DB Versionen. Der neue Treiber 
+      für mySQL Datenbanken lautet 'com.mysql.cj.jdbc.Driver' und ein aktuellerer
+      Hibernate Dialect lautet 'org.hibernate.dialect.MySQL5Dialect'. 
+      Sollte es zu Problemen kommen ersetzen Sie entsprechenden Zeilen durch:
+      a.) Konfigurationsdatei CATALINA_HOME\conf\moa-id\moa-id.properties
+          moasession.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
+          moasession.hibernate.connection.driver_class=com.mysql.cj.jdbc.Driver
+          configuration.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
+          configuration.hibernate.connection.driver_class=com.mysql.cj.jdbc.Driver
+          advancedlogging.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
+          advancedlogging.hibernate.connection.driver_class=com.mysql.cj.jdbc.Driver
+      b.) Konfigurationsdatei CATALINA_HOME\conf\moa-id-configuration\moa-id-configtool.properties
+          hibernate.connection.driver_class=com.mysql.cj.jdbc.Driver
+
+13. Starten Sie den Tomcat neu, achten Sie auf eventuelle Fehlermeldungen im
+    Logging von MOA ID beim Einlesen der Konfiguration.
+
+
+
+...............................................................................
+B.5 Durchführung eines Updates von Version < 3.0.0
+...............................................................................
+
+Bitte führen Sie eine Neuinstallation von MOA ID laut Handbuch durch und passen
+Sie die mitgelieferte Musterkonfiguration entsprechend Ihren Bedürfnissen unter 
+Zuhilfenahme Ihrer bisherigen Konfiguration an.
+
diff --git a/id/server/auth-edu/pom.xml b/id/server/auth-edu/pom.xml
index f346c17f8..d0de036ff 100644
--- a/id/server/auth-edu/pom.xml
+++ b/id/server/auth-edu/pom.xml
@@ -2,7 +2,7 @@
 	<parent>
 		<groupId>MOA.id</groupId>
 		<artifactId>moa-id</artifactId>
-		<version>4.1.2</version>
+		<version>4.1.3</version>
 	</parent>
 	
 	<modelVersion>4.0.0</modelVersion>
diff --git a/id/server/auth-final/pom.xml b/id/server/auth-final/pom.xml
index 2bd934688..53ec2c376 100644
--- a/id/server/auth-final/pom.xml
+++ b/id/server/auth-final/pom.xml
@@ -2,7 +2,7 @@
 	<parent>
 		<groupId>MOA.id</groupId>
 		<artifactId>moa-id</artifactId>
-		<version>4.1.2</version>
+		<version>4.1.3</version>
 	</parent>
 	
 	<modelVersion>4.0.0</modelVersion>
diff --git a/id/server/data/deploy/conf/moa-id/certs/ca-certs/GEANT_OV_RSA_CA_USERTrust_RSA_Certification_Authority.pem b/id/server/data/deploy/conf/moa-id/certs/ca-certs/GEANT_OV_RSA_CA_USERTrust_RSA_Certification_Authority.pem
new file mode 100644
index 000000000..43cf98983
--- /dev/null
+++ b/id/server/data/deploy/conf/moa-id/certs/ca-certs/GEANT_OV_RSA_CA_USERTrust_RSA_Certification_Authority.pem
@@ -0,0 +1,39 @@
+-----BEGIN CERTIFICATE-----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+-----END CERTIFICATE-----
diff --git a/id/server/data/deploy/conf/moa-id/certs/ca-certs/TERENA SSL High Assurance CA 3 (DigiCert High Assurance EV Root CA).crt b/id/server/data/deploy/conf/moa-id/certs/ca-certs/TERENA SSL High Assurance CA 3 (DigiCert High Assurance EV Root CA).crt
deleted file mode 100644
index ebdf72d7f..000000000
--- a/id/server/data/deploy/conf/moa-id/certs/ca-certs/TERENA SSL High Assurance CA 3 (DigiCert High Assurance EV Root CA).crt
+++ /dev/null
@@ -1,29 +0,0 @@
------BEGIN CERTIFICATE-----

-MIIE4DCCA8igAwIBAgIQC1w0NWdbJGfA1zI3+Q1flDANBgkqhkiG9w0BAQsFADBs

-MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3

-d3cuZGlnaWNlcnQuY29tMSswKQYDVQQDEyJEaWdpQ2VydCBIaWdoIEFzc3VyYW5j

-ZSBFViBSb290IENBMB4XDTE0MTExODEyMDAwMFoXDTI0MTExODEyMDAwMFowczEL

-MAkGA1UEBhMCTkwxFjAUBgNVBAgTDU5vb3JkLUhvbGxhbmQxEjAQBgNVBAcTCUFt

-c3RlcmRhbTEPMA0GA1UEChMGVEVSRU5BMScwJQYDVQQDEx5URVJFTkEgU1NMIEhp

-Z2ggQXNzdXJhbmNlIENBIDMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIB

-AQChNsmK4gfxr6c9j2OMBRo3gOA7z5keoaPHiX4rUX+1fF1Brmvf7Uo83sRiXRYQ

-RJrD79hzJrulDtdihxgS5HgvIQHqGrp3NRRDUlq/4bItLTp9QCHzLhRQSrSYaFkI

-zztYezwb3ABzNiVciqQFk7WR9ebh9ZaCxaXfebcg7LodgQQ4XDvkW2Aknkb1J8NV

-nlbKen6PLlNSL4+MLV+uF1e87aTgOxbM9sxZ1/1LRqrOu28z9WA8qUZn2Av+hcP2

-TQIBoMPMQ8dT+6Yx/0Y+2J702OU//dS0pi8gMe7FtYVcZrlcSy/C40I7EFYHEjTm

-zH4EGvG6t9wZua2atFKvP/7HAgMBAAGjggF1MIIBcTASBgNVHRMBAf8ECDAGAQH/

-AgEAMA4GA1UdDwEB/wQEAwIBhjB/BggrBgEFBQcBAQRzMHEwJAYIKwYBBQUHMAGG

-GGh0dHA6Ly9vY3NwLmRpZ2ljZXJ0LmNvbTBJBggrBgEFBQcwAoY9aHR0cDovL2Nh

-Y2VydHMuZGlnaWNlcnQuY29tL0RpZ2lDZXJ0SGlnaEFzc3VyYW5jZUVWUm9vdENB

-LmNydDBLBgNVHR8ERDBCMECgPqA8hjpodHRwOi8vY3JsNC5kaWdpY2VydC5jb20v

-RGlnaUNlcnRIaWdoQXNzdXJhbmNlRVZSb290Q0EuY3JsMD0GA1UdIAQ2MDQwMgYE

-VR0gADAqMCgGCCsGAQUFBwIBFhxodHRwczovL3d3dy5kaWdpY2VydC5jb20vQ1BT

-MB0GA1UdDgQWBBTCuIXX4bkTvdFIvP1e3H2QQnqKqTAfBgNVHSMEGDAWgBSxPsNp

-A/i/RwHUmCYaCALvY2QrwzANBgkqhkiG9w0BAQsFAAOCAQEAsCq7NTey6NjZHqT4

-kjZBNU3sItnD+RYAMWx4ZyaELcy7XhndQzX88TYSCYxl/YWB6lCjxx0dL3wTZUbX

-r+WRDzz5xX+98kdYrwNCT7fmT4eenv6cCS1sC9hc4sIl5dkb1pguY3ViV5D8/yEB

-hadOpw3TwI8xkqe2j/H5fp4Oaf9cFdpf9C85mQgZJwsvtvmmDTQTPcGPRFTgdGtY

-2xbWxDah6HjKpX6iI4BTBQhhpX6TJl6/GEaYK07s2Kr8BFPhrgmep9vrepWv61x7

-dnnqz5SeAs6cbSm551qG7Dj8+6f/8e33oqLC5Ldnbt0Ou6PjtZ4O02dN9cnicemR

-1B0/YQ==

------END CERTIFICATE-----

diff --git a/id/server/data/deploy/conf/moa-id/certs/ca-certs/USERTrust_RSA_Certification_Authority_AAA_Certificate_Services.pem b/id/server/data/deploy/conf/moa-id/certs/ca-certs/USERTrust_RSA_Certification_Authority_AAA_Certificate_Services.pem
new file mode 100644
index 000000000..cc2d08bdd
--- /dev/null
+++ b/id/server/data/deploy/conf/moa-id/certs/ca-certs/USERTrust_RSA_Certification_Authority_AAA_Certificate_Services.pem
@@ -0,0 +1,32 @@
+-----BEGIN CERTIFICATE-----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+-----END CERTIFICATE-----
diff --git a/id/server/data/deploy/conf/moa-id/moa-id.properties b/id/server/data/deploy/conf/moa-id/moa-id.properties
index beeab5375..ba883d1a1 100644
--- a/id/server/data/deploy/conf/moa-id/moa-id.properties
+++ b/id/server/data/deploy/conf/moa-id/moa-id.properties
@@ -19,7 +19,8 @@ configuration.moaconfig.key=ConfigurationEncryptionKey
 configuration.ssl.validation.revocation.method.order=ocsp,crl
 general.moaidmode.active=true
 #configuration.ssl.validation.hostname=false
-#configuration.validate.authblock.targetfriendlyname=true<
+#configuration.validate.authblock.targetfriendlyname=true
+#configuration.validate.saml1.parameter.strict=true
 
 
 #MOA-ID 3.x Monitoring Servlet
diff --git a/id/server/data/deploy/conf/moa-spss/certstore/toBeAdded/A-Trust-Test-Root-05_2016-2024.cer b/id/server/data/deploy/conf/moa-spss/certstore/toBeAdded/A-Trust-Test-Root-05_2016-2024.cer
new file mode 100644
index 000000000..78b61cfa8
--- /dev/null
+++ b/id/server/data/deploy/conf/moa-spss/certstore/toBeAdded/A-Trust-Test-Root-05_2016-2024.cer
diff --git a/id/server/data/deploy/conf/moa-spss/certstore/toBeAdded/GEANT_OV_RSA_CA_USERTrust_RSA_Certification_Authority.pem b/id/server/data/deploy/conf/moa-spss/certstore/toBeAdded/GEANT_OV_RSA_CA_USERTrust_RSA_Certification_Authority.pem
new file mode 100644
index 000000000..43cf98983
--- /dev/null
+++ b/id/server/data/deploy/conf/moa-spss/certstore/toBeAdded/GEANT_OV_RSA_CA_USERTrust_RSA_Certification_Authority.pem
@@ -0,0 +1,39 @@
+-----BEGIN CERTIFICATE-----
+MIIG5TCCBM2gAwIBAgIRANpDvROb0li7TdYcrMTz2+AwDQYJKoZIhvcNAQEMBQAw
+gYgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5MRQwEgYDVQQHEwtK
+ZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMS4wLAYD
+VQQDEyVVU0VSVHJ1c3QgUlNBIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTIw
+MDIxODAwMDAwMFoXDTMzMDUwMTIzNTk1OVowRDELMAkGA1UEBhMCTkwxGTAXBgNV
+BAoTEEdFQU5UIFZlcmVuaWdpbmcxGjAYBgNVBAMTEUdFQU5UIE9WIFJTQSBDQSA0
+MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEApYhi1aEiPsg9ZKRMAw9Q
+r8Mthsr6R20VSfFeh7TgwtLQi6RSRLOh4or4EMG/1th8lijv7xnBMVZkTysFiPmT
+PiLOfvz+QwO1NwjvgY+Jrs7fSoVA/TQkXzcxu4Tl3WHi+qJmKLJVu/JOuHud6mOp
+LWkIbhODSzOxANJ24IGPx9h4OXDyy6/342eE6UPXCtJ8AzeumTG6Dfv5KVx24lCF
+TGUzHUB+j+g0lSKg/Sf1OzgCajJV9enmZ/84ydh48wPp6vbWf1H0O3Rd3LhpMSVn
+TqFTLKZSbQeLcx/l9DOKZfBCC9ghWxsgTqW9gQ7v3T3aIfSaVC9rnwVxO0VjmDdP
+FNbdoxnh0zYwf45nV1QQgpRwZJ93yWedhp4ch1a6Ajwqs+wv4mZzmBSjovtV0mKw
+d+CQbSToalEUP4QeJq4Udz5WNmNMI4OYP6cgrnlJ50aa0DZPlJqrKQPGL69KQQz1
+2WgxvhCuVU70y6ZWAPopBa1ykbsttpLxADZre5cH573lIuLHdjx7NjpYIXRx2+QJ
+URnX2qx37eZIxYXz8ggM+wXH6RDbU3V2o5DP67hXPHSAbA+p0orjAocpk2osxHKo
+NSE3LCjNx8WVdxnXvuQ28tKdaK69knfm3bB7xpdfsNNTPH9ElcjscWZxpeZ5Iij8
+lyrCG1z0vSWtSBsgSnUyG/sCAwEAAaOCAYswggGHMB8GA1UdIwQYMBaAFFN5v1qq
+K0rPVIDh2JvAnfKyA2bLMB0GA1UdDgQWBBRvHTVJEGwy+lmgnryK6B+VvnF6DDAO
+BgNVHQ8BAf8EBAMCAYYwEgYDVR0TAQH/BAgwBgEB/wIBADAdBgNVHSUEFjAUBggr
+BgEFBQcDAQYIKwYBBQUHAwIwOAYDVR0gBDEwLzAtBgRVHSAAMCUwIwYIKwYBBQUH
+AgEWF2h0dHBzOi8vc2VjdGlnby5jb20vQ1BTMFAGA1UdHwRJMEcwRaBDoEGGP2h0
+dHA6Ly9jcmwudXNlcnRydXN0LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9u
+QXV0aG9yaXR5LmNybDB2BggrBgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6
+Ly9jcnQudXNlcnRydXN0LmNvbS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAl
+BggrBgEFBQcwAYYZaHR0cDovL29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0B
+AQwFAAOCAgEAUtlC3e0xj/1BMfPhdQhUXeLjb0xp8UE28kzWE5xDzGKbfGgnrT2R
+lw5gLIx+/cNVrad//+MrpTppMlxq59AsXYZW3xRasrvkjGfNR3vt/1RAl8iI31lG
+hIg6dfIX5N4esLkrQeN8HiyHKH6khm4966IkVVtnxz5CgUPqEYn4eQ+4eeESrWBh
+AqXaiv7HRvpsdwLYekAhnrlGpioZ/CJIT2PTTxf+GHM6cuUnNqdUzfvrQgA8kt1/
+ASXx2od/M+c8nlJqrGz29lrJveJOSEMX0c/ts02WhsfMhkYa6XujUZLmvR1Eq08r
+48/EZ4l+t5L4wt0DV8VaPbsEBF1EOFpz/YS2H6mSwcFaNJbnYqqJHIvm3PLJHkFm
+EoLXRVrQXdCT+3wgBfgU6heCV5CYBz/YkrdWES7tiiT8sVUDqXmVlTsbiRNiyLs2
+bmEWWFUl76jViIJog5fongEqN3jLIGTG/mXrJT1UyymIcobnIGrbwwRVz/mpFQo0
+vBYIi1k2ThVh0Dx88BbF9YiP84dd8Fkn5wbE6FxXYJ287qfRTgmhePecPc73Yrzt
+apdRcsKVGkOpaTIJP/l+lAHRLZxk/dUtyN95G++bOSQqnOCpVPabUGl2E/OEyFrp
+Ipwgu2L/WJclvd6g+ZA/iWkLSMcpnFb+uX6QBqvD6+RNxul1FaB5iHY=
+-----END CERTIFICATE-----
diff --git a/id/server/data/deploy/conf/moa-spss/certstore/toBeAdded/USERTrust_RSA_Certification_Authority_AAA_Certificate_Services.pem b/id/server/data/deploy/conf/moa-spss/certstore/toBeAdded/USERTrust_RSA_Certification_Authority_AAA_Certificate_Services.pem
new file mode 100644
index 000000000..cc2d08bdd
--- /dev/null
+++ b/id/server/data/deploy/conf/moa-spss/certstore/toBeAdded/USERTrust_RSA_Certification_Authority_AAA_Certificate_Services.pem
@@ -0,0 +1,32 @@
+-----BEGIN CERTIFICATE-----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+-----END CERTIFICATE-----
diff --git a/id/server/data/deploy/conf/moa-spss/certstore/toBeAdded/a-sign-Test-Premium-mobile-05_2016-2024.cer b/id/server/data/deploy/conf/moa-spss/certstore/toBeAdded/a-sign-Test-Premium-mobile-05_2016-2024.cer
new file mode 100644
index 000000000..2766c792f
--- /dev/null
+++ b/id/server/data/deploy/conf/moa-spss/certstore/toBeAdded/a-sign-Test-Premium-mobile-05_2016-2024.cer
diff --git a/id/server/data/deploy/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/A-Trust-Test-Root-05_2016-2024.cer b/id/server/data/deploy/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/A-Trust-Test-Root-05_2016-2024.cer
new file mode 100644
index 000000000..78b61cfa8
--- /dev/null
+++ b/id/server/data/deploy/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/A-Trust-Test-Root-05_2016-2024.cer
diff --git a/id/server/data/deploy/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/a-sign-Test-Premium-mobile-05_2016-2024.cer b/id/server/data/deploy/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/a-sign-Test-Premium-mobile-05_2016-2024.cer
new file mode 100644
index 000000000..2766c792f
--- /dev/null
+++ b/id/server/data/deploy/conf/moa-spss/trustProfiles/MOAIDBuergerkarteAuthentisierungsDatenMitTestkarten/a-sign-Test-Premium-mobile-05_2016-2024.cer
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index 9a90d1c49..62bde84bc 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -432,6 +432,13 @@ UNIX: moa.id.configuration=file:C:/Programme/apache/tomcat-8.x.x/conf/moa-id/moa
       <p><strong>Hinweis: </strong>Workaround, da der httpClient der openSAML2 Implementierung kein SNI (Server Name Indication) unterst&uuml;tzt.</p></td>
     </tr>
     <tr>
+      <td>configuration.validate.saml1.parameter.strict</td>
+      <td>true / false</td>
+      <td><p>Aktiviert oder deaktiviert die strikte Validierung von SecurityLayer Template URLs welche via HTTP Parameter &quot;template&quot; (siehe <a href="../protocol/protocol.html#saml1_startauth">SAML1 Protokoll)</a> angegeben werden k&ouml;nnen. Wenn dieser Parameter aktiviert (<em>true</em>) sind ausschlie&szlig;lich Tempalte URLs erlaubt die entweder in <a href="#konfigurationsparameter_allgemein_sl-templates">Allgemeinen Konfiguration</a> oder in der <a href="#konfigurationsparameter_oa_bku">jeweiligen SP Konfiguration</a> konfiguriert sind. Ist die strikte Validierung deaktiviert (<em>false</em>) sind zus&auml;tzlich alle Template URLs erlaubut welche vom selben Host liegen wie die MOA-ID Instanz. </p>
+        <p>&nbsp;</p>
+      <p><strong>Defaultwert:</strong> false</p></td>
+    </tr>
+    <tr>
       <td>configuration.validate.authblock.targetfriendlyname</td>
       <td>true / false</td>
       <td>Hiermit kann die &Uuml;berpr&uuml;fung des 'TargetFriendlyName', welcher Teil des vom Benutzer signierten Authblock ist, deaktiviert werden.  Eine Deaktivierung hat keinen Einfluss auf die Sicherheit des Authentifizierungsvorgangs mittels qualifizierter Signatur, jedoch kann der 'TargetFriendlyName im Authblock nicht als gesichert betrachtet werden.' Die Validierung ist deaktiviert wenn der Parameter auf <code>false</code> gesetzt wird.<br>
diff --git a/id/server/idserverlib/pom.xml b/id/server/idserverlib/pom.xml
index 75a2be499..b5bb84362 100644
--- a/id/server/idserverlib/pom.xml
+++ b/id/server/idserverlib/pom.xml
@@ -4,7 +4,7 @@
 	<parent>

 		<groupId>MOA.id</groupId>

 		<artifactId>moa-id</artifactId>

-		<version>4.1.2</version>

+		<version>4.1.3</version>

 	</parent>

 

 	<groupId>MOA.id.server</groupId>

@@ -503,13 +503,13 @@
 	    <dependency>

 	    	<groupId>org.apache.commons</groupId>

 	    	<artifactId>commons-pool2</artifactId>

-	    	<version>2.6.2</version>

+	    	<version>2.8.1</version>

 	    </dependency>

 	    <dependency>

 	    	<groupId>redis.clients</groupId>

 	    	<artifactId>jedis</artifactId>

 	    	<!-- version>3.0.1</version -->

-	    	<version>3.1.0</version>

+	    	<version>3.3.0</version>

 	    </dependency>

 	

 <!-- 	    <dependency>

diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/builder/MOAIDSubjectNameIdGenerator.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/builder/MOAIDSubjectNameIdGenerator.java
index 3dfba9cca..6864d4ec3 100644
--- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/builder/MOAIDSubjectNameIdGenerator.java
+++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/builder/MOAIDSubjectNameIdGenerator.java
@@ -1,6 +1,5 @@
 package at.gv.egovernment.moa.id.auth.builder;
 
-import org.apache.commons.lang3.StringUtils;
 import org.springframework.stereotype.Service;
 import org.w3c.dom.Element;
 
@@ -18,9 +17,11 @@ import at.gv.egiz.eaaf.modules.pvp2.exception.PVP2Exception;
 import at.gv.egiz.eaaf.modules.pvp2.idp.api.builder.ISubjectNameIdGenerator;
 import at.gv.egiz.eaaf.modules.pvp2.idp.exception.ResponderErrorException;
 import at.gv.egovernment.moa.id.data.IMOAAuthData;
+import at.gv.egovernment.moa.id.protocols.pvp2x.exceptions.MandateAttributesNotHandleAbleException;
 import at.gv.egovernment.moa.id.protocols.pvp2x.exceptions.NoMandateDataAvailableException;
 import at.gv.egovernment.moa.id.util.MandateBuilder;
 import at.gv.egovernment.moa.logging.Logger;
+import at.gv.egovernment.moa.sig.tsl.utils.MiscUtil;
 import at.gv.egovernment.moa.util.Constants;
 
 @Service("MOASAML2SubjectNameIDGenerator")
@@ -31,8 +32,8 @@ public class MOAIDSubjectNameIdGenerator implements ISubjectNameIdGenerator {
 		//build nameID and nameID Format from moasessio
 		if (authData instanceof IMOAAuthData && 
 				((IMOAAuthData)authData).isUseMandate()) {
-			String bpktype = null;
-			String bpk = null;
+			String identifier = null;
+			String identifierType = null;
 			
 			Element mandate = ((IMOAAuthData)authData).getMandate();
 			if(mandate != null) {
@@ -56,59 +57,88 @@ public class MOAIDSubjectNameIdGenerator implements ISubjectNameIdGenerator {
 					Logger.error("Failed to generate IdentificationType");
 					throw new NoMandateDataAvailableException();		
 				}
-			
-				bpktype = id.getType();
-				bpk = id.getValue().getValue();
-								
+							
+				identifier = id.getValue().getValue();
+				identifierType = id.getType();
+				
 			} else {
 				Logger.debug("Read mandator bPK|baseID from PVP attributes ... ");
-				bpk = authData.getGenericData(PVPConstants.MANDATE_NAT_PER_SOURCE_PIN_NAME, String.class);
-				bpktype = authData.getGenericData(PVPConstants.MANDATE_NAT_PER_SOURCE_PIN_TYPE_NAME, String.class);				
-				
-				if (StringUtils.isEmpty(bpk)) {
-					//no sourcePin is included --> search for bPK
-					bpk = authData.getGenericData(PVPConstants.MANDATE_NAT_PER_BPK_NAME, String.class);
-					
-					try {
-						if (bpk.contains(":"))
-							bpk = bpk.split(":")[1];
-						
-					} catch (Exception e) {
-						Logger.warn("Can not split bPK from mandator attribute!", e);
-						
-					}
-					
-					//set bPK-Type from configuration, because it MUST be equal to service-provider type
-					bpktype = spConfig.getAreaSpecificTargetIdentifier();
-										
-				} else {
-					//sourcePin is include --> check sourcePinType
-					if (StringUtils.isEmpty(bpktype))
-						bpktype = Constants.URN_PREFIX_BASEID;
-					
-				}				
-			}
-			
-			if (StringUtils.isEmpty(bpk) || StringUtils.isEmpty(bpktype)) {
-				throw new NoMandateDataAvailableException();
+				String natSourcePin = authData.getGenericData(PVPConstants.MANDATE_NAT_PER_SOURCE_PIN_NAME, String.class);
+				String natSourcePinType = authData.getGenericData(PVPConstants.MANDATE_NAT_PER_SOURCE_PIN_TYPE_NAME, String.class);				
+				String natBpk = authData.getGenericData(PVPConstants.MANDATE_NAT_PER_BPK_NAME, String.class);
 				
-			}
-			
-			if (bpktype.equals(Constants.URN_PREFIX_BASEID)) {				
-				try {
-					return new BPKBuilder().generateAreaSpecificPersonIdentifier(bpk, spConfig.getAreaSpecificTargetIdentifier());
+				String jurSourcePin = authData.getGenericData(PVPConstants.MANDATE_LEG_PER_SOURCE_PIN_NAME, String.class);
+        String jurSourcePinType = authData.getGenericData(PVPConstants.MANDATE_LEG_PER_SOURCE_PIN_TYPE_NAME, String.class);
+         
+        if ( (MiscUtil.isNotEmpty(jurSourcePin) || MiscUtil.isNotEmpty(jurSourcePinType)) 
+            && (MiscUtil.isNotEmpty(natSourcePin) || MiscUtil.isNotEmpty(natBpk))) {
+          Logger.warn("Found mandate attributes for legal- AND natural-person. "
+              + "Both not allowed during on authentication. Process stops now!");
+          throw new MandateAttributesNotHandleAbleException();
+          
+        }
+        
+        if (MiscUtil.isNotEmpty(jurSourcePin) && MiscUtil.isNotEmpty(jurSourcePinType)) {
+          Logger.debug("Find jur. person sourcepin. Build SubjectNameId from this ... ");
+          return Pair.newInstance(jurSourcePin, jurSourcePinType);
+          
+          
+        } else if (MiscUtil.isNotEmpty(natSourcePin)) {
+          Logger.debug("Find nat. person sourcepin. Build SubjectNameId from this ... ");
+          identifier = natSourcePin;
+          
+          if (MiscUtil.isNotEmpty(natSourcePinType)) {
+            identifierType = natSourcePinType;
+            
+          } else {
+            identifierType = Constants.URN_PREFIX_BASEID;
+            
+          }
+          
+        } else if (MiscUtil.isNotEmpty(natBpk)) {
+          Logger.debug("Find nat. person bPK. Build SubjectNameId from this ... ");
+          try {
+            if (natBpk.contains(":")) {
+              natBpk = natBpk.split(":")[1];
+              
+            }
+            
+          } catch (Exception e) {            
+            Logger.warn("Can not split bPK from mandator attribute!", e);
+            Logger.info("Use nat. person bPK as it is");
+            
+          }
+          
+          return Pair.newInstance(natBpk, 
+              spConfig.getAreaSpecificTargetIdentifier());
+                            
+        } else {
+          throw new NoMandateDataAvailableException();
+          
+        }
+			} 			
+			  
+			if (identifierType.equals(Constants.URN_PREFIX_BASEID)) {				
+			  try {
+			     return BPKBuilder.generateAreaSpecificPersonIdentifier(
+			        identifier, spConfig.getAreaSpecificTargetIdentifier());
 										
-				} catch (EAAFBuilderException e) {
-					Logger.warn("Can NOT generate SubjectNameId." , e);
-					throw new ResponderErrorException("pvp2.01", null);
+			  } catch (EAAFBuilderException e) {
+			    Logger.warn("Can NOT generate SubjectNameId." , e);
+			    throw new ResponderErrorException("pvp2.01", null);
 
-				}								
+			  }								
 				
-			} else
-				return Pair.newInstance(bpk, bpktype);
-									
-		} else
+			} else {
+			  return Pair.newInstance(identifier, identifierType);
+				
+			}
+						
+			//no mandate available. Use bPK from authenticated entity
+		} else {
 			return Pair.newInstance(authData.getBPK(), authData.getBPKType());
+			
+		}
 
 	}
 
diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/parser/StartAuthentificationParameterParser.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/parser/StartAuthentificationParameterParser.java
index ead80b117..03fd225e0 100644
--- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/parser/StartAuthentificationParameterParser.java
+++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/auth/parser/StartAuthentificationParameterParser.java
@@ -42,6 +42,7 @@ import at.gv.egovernment.moa.id.commons.api.IOAAuthParameters;
 import at.gv.egovernment.moa.id.commons.api.data.IAuthenticationSession;
 import at.gv.egovernment.moa.id.commons.api.exceptions.MOAIDException;
 import at.gv.egovernment.moa.id.config.TargetToSectorNameMapper;
+import at.gv.egovernment.moa.id.config.auth.PropertyBasedAuthConfigurationProvider;
 import at.gv.egovernment.moa.id.util.ParamValidatorUtils;
 import at.gv.egovernment.moa.logging.Logger;
 import at.gv.egovernment.moa.util.MiscUtil;
@@ -182,14 +183,14 @@ public class StartAuthentificationParameterParser extends MOAIDAuthConstants{
 	    	List<String> defaulTemplateURLList = 
 	    			authConfig.getSLRequestTemplates();
 	    		    	
-	    	if ( templateURLList != null && templateURLList.size() > 0 
+	    	if ( templateURLList != null && !templateURLList.isEmpty() 
 	    			&& MiscUtil.isNotEmpty(templateURLList.get(0)) ) {	    	
 	    		templateURL = FileUtils.makeAbsoluteURL(
 	    				oaParam.getTemplateURL().get(0),
 	    				authConfig.getRootConfigFileDir()); 
 	    		Logger.info("No SL-Template in request, load SL-Template from OA configuration (URL: " + templateURL + ")");
 
-	    	} else if ( (defaulTemplateURLList.size() > 0) && MiscUtil.isNotEmpty(defaulTemplateURLList.get(0))) {
+	    	} else if ( !defaulTemplateURLList.isEmpty() && MiscUtil.isNotEmpty(defaulTemplateURLList.get(0))) {
 	    		templateURL = FileUtils.makeAbsoluteURL(
 	    				defaulTemplateURLList.get(0),
 	    				authConfig.getRootConfigFileDir());
@@ -203,8 +204,13 @@ public class StartAuthentificationParameterParser extends MOAIDAuthConstants{
 	    	
 	    }
 		
-	    if (!ParamValidatorUtils.isValidTemplate(req, templateURL, oaParam.getTemplateURL()))
+	    if (!ParamValidatorUtils.isValidTemplate(req, templateURL, oaParam.getTemplateURL(),
+	        authConfig.getBasicConfigurationBoolean(
+	            PropertyBasedAuthConfigurationProvider.PROP_STRICT_SAML1_PARAM_VALIDATION, 
+	            false))) {
 		       throw new WrongParametersException("StartAuthentication", PARAM_TEMPLATE, "auth.12");
+		       
+	    }
 	    
 	    protocolReq.setRawDataToTransaction(
 	    		MOAIDAuthConstants.AUTHPROCESS_DATA_SECURITYLAYERTEMPLATE, 
diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/AuthConfigurationProviderFactory.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/AuthConfigurationProviderFactory.java
index 94bcae672..cf3e0efd7 100644
--- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/AuthConfigurationProviderFactory.java
+++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/AuthConfigurationProviderFactory.java
@@ -57,4 +57,19 @@ public class AuthConfigurationProviderFactory {
 	    return instance;
 	    
 	}
+	
+	/**
+	 * Set AuthConfig programmatically 
+	 * 
+	 * @param authConfig
+	 */
+	public static void setAuthConfig(AuthConfiguration authConfig) {
+	  if (instance != null) {
+	    throw new RuntimeException("AuthConfig can ONLY set once!");
+	    
+	  }
+	  
+	  instance = authConfig;
+	  
+	}
 }
diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/PropertyBasedAuthConfigurationProvider.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/PropertyBasedAuthConfigurationProvider.java
index f299e0e94..1ffdaa524 100644
--- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/PropertyBasedAuthConfigurationProvider.java
+++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/config/auth/PropertyBasedAuthConfigurationProvider.java
@@ -52,6 +52,8 @@ public class PropertyBasedAuthConfigurationProvider extends ConfigurationProvide
 
 
 	public static final String PROP_MOAID_MODE = "general.moaidmode.active";
+	public static final String PROP_STRICT_SAML1_PARAM_VALIDATION = 
+	    "configuration.validate.saml1.parameter.strict";
 	
 	private static final boolean TRUST_MANAGER_REVOCATION_CHECKING_DEFAULT = true;
 
diff --git a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/ParamValidatorUtils.java b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/ParamValidatorUtils.java
index a44d8c1b6..0e468bb6b 100644
--- a/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/ParamValidatorUtils.java
+++ b/id/server/idserverlib/src/main/java/at/gv/egovernment/moa/id/util/ParamValidatorUtils.java
@@ -49,6 +49,7 @@ package at.gv.egovernment.moa.id.util;
 import java.io.ByteArrayInputStream;

 import java.io.IOException;

 import java.net.MalformedURLException;

+import java.net.URISyntaxException;

 import java.net.URL;

 import java.util.Collections;

 import java.util.HashMap;

@@ -63,6 +64,7 @@ import javax.xml.parsers.ParserConfigurationException;
 import org.xml.sax.SAXException;

 

 import at.gv.egiz.eaaf.core.impl.utils.DOMUtils;

+import at.gv.egiz.eaaf.core.impl.utils.FileUtils;

 import at.gv.egovernment.moa.id.auth.exception.WrongParametersException;

 import at.gv.egovernment.moa.id.commons.MOAIDAuthConstants;

 import at.gv.egovernment.moa.id.commons.api.AuthConfiguration;

@@ -220,11 +222,11 @@ public class ParamValidatorUtils extends MOAIDAuthConstants{
 	      }

 	      

 	      // check if template is a valid URL

-	      try {	    	  

+	      try {

+	        URL bkuUrl = new URL(bkuURI);

 	    	  // check if bku url starts with http or https 

-	    	  if (bkuURI.startsWith("http") || bkuURI.startsWith("https")) {

-	    		  new URL(bkuURI);

-	    		  

+	    	  if (bkuUrl.getProtocol().equals("http") || bkuUrl.getProtocol().equals("https")) {

+	    		  	    		  

 	    		  // check if bkuURI is a local BKU

 	    		  if (bkuURI.compareToIgnoreCase("https://localhost:3496/https-security-layer-request") == 0 || 

 	    			  bkuURI.compareToIgnoreCase("http://localhost:3495/http-security-layer-request") == 0 ||

@@ -232,8 +234,8 @@ public class ParamValidatorUtils extends MOAIDAuthConstants{
 	    			  bkuURI.compareToIgnoreCase("https://127.0.0.1:3496/https-security-layer-request") == 0) {

 	    			  Logger.debug("Parameter bkuURI erfolgreich ueberprueft");

 	    			  return true;

-	    		  }

-	    		  else {

+	    		  

+	    		  } else {

 	    			  Logger.debug("Parameter bkuURI ist keine lokale BKU. Ueberpruefe Liste der vertrauenswuerdigen BKUs.");

 		    		  boolean b = allowedBKUs.contains(bkuURI);

 		    		  if (b) {

@@ -246,17 +248,17 @@ public class ParamValidatorUtils extends MOAIDAuthConstants{
                           return false;

 		    		  }  

 	    		  }

-	    	  }

-	    	  else if (MOAIDAuthConstants.REQ_BKU_TYPES.contains(bkuURI)) {

+	    	  

+	    	  } else if (MOAIDAuthConstants.REQ_BKU_TYPES.contains(bkuURI)) {

 	    		  Logger.debug("Parameter bkuURI from configuration is used.");

 	    		  return true;

 	    		  

 	    	  } else {

 	    		  Logger.error("Fehler Ueberpruefung Parameter bkuURI. bkuURI beginnt nicht mit http or https");

 	    		  return false;

+	    		  

 	    	  }

 	    	  

-	            

 	      } catch (MalformedURLException e) {

 	    	  Logger.error("Fehler Ueberpruefung Parameter bkuURI", e);

 	         return false;

@@ -268,9 +270,12 @@ public class ParamValidatorUtils extends MOAIDAuthConstants{
     * Checks if the given template is valid

     * @param req

     * @param template

+    * @param oaSlTemplates

+    * @param useStrictValidation Enables strict validation with URLs from configuration, otherwise always allow templates from same host. 

     * @return

     */

-   public static boolean isValidTemplate(HttpServletRequest req, String template, List<String> oaSlTemplates) {

+   public static boolean isValidTemplate(HttpServletRequest req, String template, 

+       List<String> oaSlTemplates, boolean useStrictValidation) {

    

 	   Logger.debug("Ueberpruefe Parameter Template bzw. bkuSelectionTemplateURL");

 	   

@@ -282,65 +287,38 @@ public class ParamValidatorUtils extends MOAIDAuthConstants{
       

       // check if template is a valid URL

       try {

-    	  

-    	  // check if template url starts with http or https 

-    	  if (template.startsWith("http") || template.startsWith("https")) {

-    	

-    		  // check if template url is from same server    		  

-    		  String name = req.getServerName();

-    		  String httpName = "http://" + name;

-    		  String httpsName = "https://" + name;

-    		  

-    		  if (template.startsWith(httpName) || template.startsWith(httpsName)) {

-    			 new URL(template);

-    			 Logger.debug("Parameter Template bzw. bkuSelectionTemplateURL erfolgreich ueberprueft");

-     	         return true;

-    		  }

-    		  else {

-    			  //check against configured trustet template urls

-    			  AuthConfiguration authConf = AuthConfigurationProviderFactory.getInstance();

-    			  List<String> trustedTemplateURLs = authConf.getSLRequestTemplates();

-    			  

-    			  //get OA specific template URLs

-    			  if (oaSlTemplates != null && oaSlTemplates.size() > 0) {

-    			    for (String el : oaSlTemplates)

-    			    	if (MiscUtil.isNotEmpty(el))

-    			    		trustedTemplateURLs.add(el);    				  

-    			  }

-    			  

-	    		  boolean b = trustedTemplateURLs.contains(template);

-	    		  if (b) {

-	    			  Logger.debug("Parameter Template erfolgreich ueberprueft");

-	    			  return true;

-	    		  }

-	    		  else {

-	    			  Logger.error("Fehler Ueberpruefung Parameter Template bzw. bkuSelectionTemplateURL. Parameter liegt nicht am gleichen Server wie die MOA-Instanz (" + req.getServerName() + ") bzw. ist nicht auf Liste der vertrauenswuerdigen Template URLs (Konfigurationselement: MOA-IDConfiguration/TrustedTemplateURLs)");  

-	    			  return false;

-	    		  }  

-    			  

-    		  }

-    		  

-    	  } else if (template.startsWith("file")){

- 			 new URL(template);

-			 Logger.debug("Parameter Template bzw. bkuSelectionTemplateURL erfolgreich ueberprueft");

-			 Logger.debug("Load SL-Layer Template from local filesystem " + template);

-			 return true;

- 

-    	  }	else {

-    		 Logger.error("Fehler Ueberpruefung Parameter Template bzw. bkuSelectionTemplateURL. Paramter beginnt nicht mit http oder https.");

-    		 return false;

-    	  }

+        if (useStrictValidation) {

+          Logger.trace("Use strict validation of Template bzw. bkuSelectionTemplateURL");

+          return validateTemplateUrlToWhiteList(template, oaSlTemplates);

+                   

+        } else {

+          Logger.trace("Use lazy validation of Template bzw. bkuSelectionTemplateURL");

+          URL templateUrl = new URL(template);

+          String serverName = req.getServerName();

+          

+          // check if template url starts with http or https 

+          if (((templateUrl.getProtocol().startsWith("http") 

+              || templateUrl.getProtocol().startsWith("https")))

+              && templateUrl.getHost().equals(serverName)) {

+            Logger.debug("Parameter Template bzw. bkuSelectionTemplateURL erfolgreich ueberprueft"

+                + " Lazy check is activ and template is on same host as MOA-ID");

+            return true;

+                                    

+            

+          } else {

+            return validateTemplateUrlToWhiteList(template, oaSlTemplates);

+            

+          }                                       

+        }

     	   

-      } catch (MalformedURLException e) {

+      } catch (MalformedURLException | ConfigurationException | URISyntaxException e) {

     	 Logger.error("Fehler Ueberpruefung Parameter Template bzw. bkuSelectionTemplateURL.", e);

          return false;

-      } catch (ConfigurationException e) {

-    	  Logger.error("Fehler Ueberpruefung Parameter Template bzw. bkuSelectionTemplateURL.", e);

-    	  return false;

-	}

+    

+      }

    }

    

-   /**

+  /**

     * Checks if the given sessionID is valid

     * @param target HTTP parameter from request

     * @return 

@@ -540,13 +518,62 @@ public class ParamValidatorUtils extends MOAIDAuthConstants{
 		    

 		} catch (WrongParametersException e) {

 			return false;

+			

 		}

 

-	    if (StringUtils.isEmpty(bkuURL) && StringUtils.isEmpty(useeIDAS))

+	    if (StringUtils.isEmpty(bkuURL) && StringUtils.isEmpty(useeIDAS)) {

 	    	return false;

-	    else

+	    	

+	    } else {

 	    	return true;

+	    	

+	    }

 	}

+	

+  private static boolean validateTemplateUrlToWhiteList(String template, List<String> oaSlTemplates) 

+      throws ConfigurationException, MalformedURLException, URISyntaxException {

+  //check against configured trustet template urls

+    AuthConfiguration authConf = AuthConfigurationProviderFactory.getInstance();

+    List<String> trustedTemplateURLs = authConf.getSLRequestTemplates();

+    

+    //get OA specific template URLs

+    if (oaSlTemplates != null && !oaSlTemplates.isEmpty()) {

+      for (String el : oaSlTemplates)

+        if (MiscUtil.isNotEmpty(el))

+          trustedTemplateURLs.add(el);              

+    }

+    

+    boolean b = false;

+    if (template.startsWith("file:")) {

+      for (String el : trustedTemplateURLs) {

+        URL templateUrl = new URL(template);

+        URL trustedUrl = new URL(FileUtils.makeAbsoluteURL(el, authConf.getConfigurationRootDirectory()));

+        b = trustedUrl.equals(templateUrl);        

+        if (b) {

+          break;

+        }        

+      }

+      

+    } else {

+      b = trustedTemplateURLs.contains(template);  

+      

+    }

+    

+    

+    if (b) {

+      Logger.debug("Parameter Template erfolgreich ueberprueft");

+      return true;

+    

+    } else {

+      Logger.info("Template:" + template + " DOES NOT match to allowed templates: ["

+          + org.apache.commons.lang3.StringUtils.join(trustedTemplateURLs, ",") +  "]");

+      Logger.error("Fehler Ueberpruefung Parameter Template bzw. bkuSelectionTemplateURL. "

+          + "Parameter ist nicht auf Liste der vertrauenswuerdigen Template URLs "

+          + "(Konfigurationselement: MOA-IDConfiguration/TrustedTemplateURLs)");  

+      return false;

+      

+    }  

+ }

 

 }

 

diff --git a/id/server/idserverlib/src/test/java/at/gv/egovernment/moa/id/config/auth/data/DummyAuthConfig.java b/id/server/idserverlib/src/test/java/at/gv/egovernment/moa/id/config/auth/data/DummyAuthConfig.java
index 1ab54471c..b2f425a2c 100644
--- a/id/server/idserverlib/src/test/java/at/gv/egovernment/moa/id/config/auth/data/DummyAuthConfig.java
+++ b/id/server/idserverlib/src/test/java/at/gv/egovernment/moa/id/config/auth/data/DummyAuthConfig.java
@@ -2,7 +2,9 @@ package at.gv.egovernment.moa.id.config.auth.data;
 
 import java.io.IOException;
 import java.net.URI;
+import java.net.URISyntaxException;
 import java.net.URL;
+import java.util.ArrayList;
 import java.util.HashMap;
 import java.util.List;
 import java.util.Map;
@@ -20,16 +22,21 @@ import at.gv.egovernment.moa.id.commons.api.IOAAuthParameters;
 import at.gv.egovernment.moa.id.commons.api.IStorkConfig;
 import at.gv.egovernment.moa.id.commons.api.data.ProtocolAllowed;
 import at.gv.egovernment.moa.id.commons.api.exceptions.ConfigurationException;
+import at.gv.egovernment.moa.util.MiscUtil;
 import at.gv.util.config.EgovUtilPropertiesConfiguration;
 
 public class DummyAuthConfig implements AuthConfiguration {
 
 	private Boolean isIDLEscapingEnabled = null;
 	
+	private Map<String, String> basicConfig = new HashMap<>();
+  private List<String> slRequestTemplates;
+	private String configRootDir;
+  
 	@Override
 	public String getRootConfigFileDir() {
-		// TODO Auto-generated method stub
-		return null;
+		return configRootDir;
+		
 	}
 
 	@Override
@@ -100,7 +107,10 @@ public class DummyAuthConfig implements AuthConfiguration {
 		} else if (UserRestrictionTask.CONFIG_PROPS_CSV_USER_SECTOR.equals(key)) {
 			return "urn:publicid:gv.at:cdid+ZP-MH";
 			
-		} 
+		} else if (basicConfig.containsKey(key)) {
+		  return basicConfig.get(key);
+		  
+		}
 		
 		
 		return null;
@@ -108,8 +118,13 @@ public class DummyAuthConfig implements AuthConfiguration {
 
 	@Override
 	public String getBasicConfiguration(String key, String defaultValue) {
-		// TODO Auto-generated method stub
-		return null;
+	  if (basicConfig.containsKey(key)) {
+      return basicConfig.get(key);
+      
+    } else {	  
+      return defaultValue;
+      
+    }
 	}
 
 	@Override
@@ -235,8 +250,8 @@ public class DummyAuthConfig implements AuthConfiguration {
 
 	@Override
 	public List<String> getSLRequestTemplates() throws ConfigurationException {
-		// TODO Auto-generated method stub
-		return null;
+		return new ArrayList<>(slRequestTemplates);
+		
 	}
 
 	@Override
@@ -428,14 +443,30 @@ public class DummyAuthConfig implements AuthConfiguration {
 			
 		}
 		
+		if (basicConfig.containsKey(key)) {
+      return Boolean.parseBoolean(basicConfig.get(key));
+      
+    } else {
+      return defaultValue;
+      
+    }
 		
-		return false;
 	}
 
 	@Override
 	public URI getConfigurationRootDirectory() {
-		// TODO Auto-generated method stub
-		return null;
+		try {
+		  if (MiscUtil.isNotEmpty(configRootDir)) {
+		    return new URI(configRootDir);
+		    
+		  }      
+    } catch (URISyntaxException e) {
+      e.printStackTrace();
+      
+    }
+		
+    return null;
+		
 	}
 
 	@Override
@@ -462,8 +493,33 @@ public class DummyAuthConfig implements AuthConfiguration {
 
 	@Override
 	public Boolean getBasicConfigurationBoolean(String key) {
-		// TODO Auto-generated method stub
+	  if (basicConfig.containsKey(key)) {
+	    return Boolean.parseBoolean(basicConfig.get(key));
+	    
+	  }
+	  
 		return null;
 	}
 
+	public void putIntoBasicConfig(String key, String value) {
+	  basicConfig.put(key, value);
+	  
+	}
+	
+	public void removeFromBasicConfig(String key) {
+	  basicConfig.remove(key);
+	  
+	}
+	
+	public void setSlRequestTemplateUrls(List<String> templates) {
+	  slRequestTemplates = templates;
+	  
+	}
+
+  public void setConfigRootDir(String configRootDir) {
+    this.configRootDir = configRootDir;
+  }
+	
+	
+	
 }
diff --git a/id/server/idserverlib/src/test/java/test/at/gv/egovernment/moa/id/util/ParamValidatorUtilsTest.java b/id/server/idserverlib/src/test/java/test/at/gv/egovernment/moa/id/util/ParamValidatorUtilsTest.java
new file mode 100644
index 000000000..7afad55aa
--- /dev/null
+++ b/id/server/idserverlib/src/test/java/test/at/gv/egovernment/moa/id/util/ParamValidatorUtilsTest.java
@@ -0,0 +1,637 @@
+package test.at.gv.egovernment.moa.id.util;
+
+import java.io.BufferedReader;
+import java.io.IOException;
+import java.io.UnsupportedEncodingException;
+import java.security.Principal;
+import java.util.ArrayList;
+import java.util.Arrays;
+import java.util.Collection;
+import java.util.Enumeration;
+import java.util.List;
+import java.util.Locale;
+import java.util.Map;
+
+import javax.servlet.AsyncContext;
+import javax.servlet.DispatcherType;
+import javax.servlet.RequestDispatcher;
+import javax.servlet.ServletContext;
+import javax.servlet.ServletException;
+import javax.servlet.ServletInputStream;
+import javax.servlet.ServletRequest;
+import javax.servlet.ServletResponse;
+import javax.servlet.http.Cookie;
+import javax.servlet.http.HttpServletRequest;
+import javax.servlet.http.HttpServletResponse;
+import javax.servlet.http.HttpSession;
+import javax.servlet.http.Part;
+
+import org.junit.Assert;
+import org.junit.BeforeClass;
+import org.junit.Test;
+import org.junit.runner.RunWith;
+import org.junit.runners.BlockJUnit4ClassRunner;
+
+import at.gv.egovernment.moa.id.config.auth.AuthConfigurationProviderFactory;
+import at.gv.egovernment.moa.id.config.auth.data.DummyAuthConfig;
+import at.gv.egovernment.moa.id.util.ParamValidatorUtils;
+
+@RunWith(BlockJUnit4ClassRunner.class)
+public class ParamValidatorUtilsTest {
+
+  private static DummyAuthConfig config;
+  
+  @BeforeClass
+  public static void classInitializer() {
+    config = new DummyAuthConfig();
+    AuthConfigurationProviderFactory.setAuthConfig(config);
+    config.setSlRequestTemplateUrls(new ArrayList<String>());    
+    config.setConfigRootDir("file://junit.com/");
+    
+  }
+  
+  @Test
+  public void templateStrictWhitelistFirst() {
+    
+    HttpServletRequest req = getDummyHttpRequest("junit.com");
+    String template = "https://aaaa.com/bbbb";
+    List<String> oaSlTemplates = Arrays.asList(
+        "http://aaaa.com/bbbb", 
+        "https://aaaa.com/bbbb", 
+        "file://aaaa.com/bbbb");
+    
+    Assert.assertTrue("Template should be valid", 
+        ParamValidatorUtils.isValidTemplate(req, template, oaSlTemplates, true));
+    
+  }
+
+  @Test
+  public void templateStrictWhitelistSecond() {
+    
+    HttpServletRequest req = getDummyHttpRequest("junit.com");
+    String template = "file:/aaaa.com/ccc";
+    List<String> oaSlTemplates = Arrays.asList(
+        "http://aaaa.com/bbbb", 
+        "https://aaaa.com/bbbb", 
+        "file:/aaaa.com/bbbb");
+    
+    Assert.assertFalse("Template should NOT be valid", 
+        ParamValidatorUtils.isValidTemplate(req, template, oaSlTemplates, true));
+    
+  }
+  
+  @Test
+  public void templateLazyWhitelistFirst() {
+    
+    HttpServletRequest req = getDummyHttpRequest("junit.com");
+    String template = "https://aaaa.com/bbbb";
+    List<String> oaSlTemplates = Arrays.asList(
+        "http://aaaa.com/bbbb", 
+        "https://aaaa.com/bbbb", 
+        "file://aaaa.com/bbbb");
+    
+    Assert.assertTrue("Template should be valid", 
+        ParamValidatorUtils.isValidTemplate(req, template, oaSlTemplates, false));
+    
+  }
+  
+  @Test
+  public void templateLazyWhitelistSecond() {
+    
+    HttpServletRequest req = getDummyHttpRequest("junit.com");
+    String template = "file:/aaaa.com/ccc";
+    List<String> oaSlTemplates = Arrays.asList(
+        "http://aaaa.com/bbbb", 
+        "https://aaaa.com/bbbb", 
+        "file:/aaaa.com/bbbb");
+    
+    Assert.assertFalse("Template should NOT be valid", 
+        ParamValidatorUtils.isValidTemplate(req, template, oaSlTemplates, false));
+    
+  }
+  
+  @Test
+  public void templateLazyWhitelistThird() {
+    
+    HttpServletRequest req = getDummyHttpRequest("junit.com");
+    String template = "https://aaaa.com/ccc";
+    List<String> oaSlTemplates = Arrays.asList(
+        "http://aaaa.com/bbbb", 
+        "https://aaaa.com/bbbb", 
+        "file://aaaa.com/bbbb");
+    
+    Assert.assertFalse("Template should NOT be valid", 
+        ParamValidatorUtils.isValidTemplate(req, template, oaSlTemplates, false));
+    
+  }
+  
+  @Test
+  public void templateLazyWhitelistFour() {
+    
+    HttpServletRequest req = getDummyHttpRequest("junit.com");
+    String template = "http://aaaa.com/ccc";
+    List<String> oaSlTemplates = Arrays.asList(
+        "http://aaaa.com/bbbb", 
+        "https://aaaa.com/bbbb", 
+        "file://aaaa.com/bbbb");
+    
+    Assert.assertFalse("Template should NOT be valid", 
+        ParamValidatorUtils.isValidTemplate(req, template, oaSlTemplates, false));
+    
+  }
+  
+  @Test
+  public void templateLazyWhitelistFife() {
+    
+    HttpServletRequest req = getDummyHttpRequest("junit.com");
+    String template = "http://junit.com/ccc";
+    List<String> oaSlTemplates = Arrays.asList(
+        "http://aaaa.com/bbbb", 
+        "https://aaaa.com/bbbb", 
+        "file://aaaa.com/bbbb");
+    
+    Assert.assertTrue("Template should be valid", 
+        ParamValidatorUtils.isValidTemplate(req, template, oaSlTemplates, false));
+    
+  }
+  
+  @Test
+  public void templateLazyWhitelistSix() {
+    
+    HttpServletRequest req = getDummyHttpRequest("junit.com");
+    String template = "https://junit.com/ccc";
+    List<String> oaSlTemplates = Arrays.asList(
+        "http://aaaa.com/bbbb", 
+        "https://aaaa.com/bbbb", 
+        "file://aaaa.com/bbbb");
+    
+    Assert.assertTrue("Template should be valid", 
+        ParamValidatorUtils.isValidTemplate(req, template, oaSlTemplates, false));
+    
+  }
+  
+  @Test
+  public void templateLazyWhitelistSeven() {
+    
+    HttpServletRequest req = getDummyHttpRequest("junit.com");
+    String template = "file:/junit.com/ccc";
+    List<String> oaSlTemplates = Arrays.asList(
+        "http://aaaa.com/bbbb", 
+        "https://aaaa.com/bbbb", 
+        "file:/aaaa.com/bbbb");
+    
+    Assert.assertFalse("Template should Not be valid", 
+        ParamValidatorUtils.isValidTemplate(req, template, oaSlTemplates, false));
+    
+  }
+  
+  @Test
+  public void templateLazyWhitelistEight() {
+    
+    HttpServletRequest req = getDummyHttpRequest("junit.com");
+    String template = "file:/junit.com/ccc";
+    List<String> oaSlTemplates = Arrays.asList(
+        "http://aaaa.com/bbbb", 
+        "https://aaaa.com/bbbb", 
+        "file://aaaa.com/ccc",
+        "ccc");
+    
+    Assert.assertTrue("Template should be valid", 
+        ParamValidatorUtils.isValidTemplate(req, template, oaSlTemplates, false));
+    
+  }
+  
+  @Test
+  public void templateLazyWhitelistNine() {
+    
+    HttpServletRequest req = getDummyHttpRequest("junit.com");
+    String template = "file:\\junit.com\\ccc";
+    List<String> oaSlTemplates = Arrays.asList(
+        "http://aaaa.com/bbbb", 
+        "https://aaaa.com/bbbb", 
+        "file://aaaa.com/ccc",
+        "ccc");
+    
+    Assert.assertTrue("Template should be valid", 
+        ParamValidatorUtils.isValidTemplate(req, template, oaSlTemplates, false));
+    
+  }
+  
+  @Test
+  public void templateLazyWhitelistTen() {
+    
+    HttpServletRequest req = getDummyHttpRequest("junit.com");
+    String template = "file:\\junit.com/ccc";
+    List<String> oaSlTemplates = Arrays.asList(
+        "http://aaaa.com/bbbb", 
+        "https://aaaa.com/bbbb", 
+        "file://aaaa.com/ccc",
+        "ccc");
+    
+    Assert.assertTrue("Template should be valid", 
+        ParamValidatorUtils.isValidTemplate(req, template, oaSlTemplates, false));
+    
+  }
+  
+  private HttpServletRequest getDummyHttpRequest(final String serverName) {
+    return new HttpServletRequest() {
+      
+      @Override
+      public AsyncContext startAsync(ServletRequest servletRequest, ServletResponse servletResponse)
+          throws IllegalStateException {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public AsyncContext startAsync() throws IllegalStateException {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public void setCharacterEncoding(String env) throws UnsupportedEncodingException {
+        // TODO Auto-generated method stub
+        
+      }
+      
+      @Override
+      public void setAttribute(String name, Object o) {
+        // TODO Auto-generated method stub
+        
+      }
+      
+      @Override
+      public void removeAttribute(String name) {
+        // TODO Auto-generated method stub
+        
+      }
+      
+      @Override
+      public boolean isSecure() {
+        // TODO Auto-generated method stub
+        return false;
+      }
+      
+      @Override
+      public boolean isAsyncSupported() {
+        // TODO Auto-generated method stub
+        return false;
+      }
+      
+      @Override
+      public boolean isAsyncStarted() {
+        // TODO Auto-generated method stub
+        return false;
+      }
+      
+      @Override
+      public ServletContext getServletContext() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public int getServerPort() {
+        // TODO Auto-generated method stub
+        return 0;
+      }
+      
+      @Override
+      public String getServerName() {
+        return serverName;
+        
+      }
+      
+      @Override
+      public String getScheme() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public RequestDispatcher getRequestDispatcher(String path) {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public int getRemotePort() {
+        // TODO Auto-generated method stub
+        return 0;
+      }
+      
+      @Override
+      public String getRemoteHost() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getRemoteAddr() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getRealPath(String path) {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public BufferedReader getReader() throws IOException {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getProtocol() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String[] getParameterValues(String name) {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public Enumeration<String> getParameterNames() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public Map<String, String[]> getParameterMap() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getParameter(String name) {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public Enumeration<Locale> getLocales() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public Locale getLocale() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public int getLocalPort() {
+        // TODO Auto-generated method stub
+        return 0;
+      }
+      
+      @Override
+      public String getLocalName() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getLocalAddr() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public ServletInputStream getInputStream() throws IOException {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public DispatcherType getDispatcherType() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getContentType() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public int getContentLength() {
+        // TODO Auto-generated method stub
+        return 0;
+      }
+      
+      @Override
+      public String getCharacterEncoding() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public Enumeration<String> getAttributeNames() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public Object getAttribute(String name) {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public AsyncContext getAsyncContext() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public void logout() throws ServletException {
+        // TODO Auto-generated method stub
+        
+      }
+      
+      @Override
+      public void login(String username, String password) throws ServletException {
+        // TODO Auto-generated method stub
+        
+      }
+      
+      @Override
+      public boolean isUserInRole(String role) {
+        // TODO Auto-generated method stub
+        return false;
+      }
+      
+      @Override
+      public boolean isRequestedSessionIdValid() {
+        // TODO Auto-generated method stub
+        return false;
+      }
+      
+      @Override
+      public boolean isRequestedSessionIdFromUrl() {
+        // TODO Auto-generated method stub
+        return false;
+      }
+      
+      @Override
+      public boolean isRequestedSessionIdFromURL() {
+        // TODO Auto-generated method stub
+        return false;
+      }
+      
+      @Override
+      public boolean isRequestedSessionIdFromCookie() {
+        // TODO Auto-generated method stub
+        return false;
+      }
+      
+      @Override
+      public Principal getUserPrincipal() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public HttpSession getSession(boolean create) {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public HttpSession getSession() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getServletPath() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getRequestedSessionId() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public StringBuffer getRequestURL() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getRequestURI() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getRemoteUser() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getQueryString() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getPathTranslated() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getPathInfo() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public Collection<Part> getParts() throws IOException, ServletException {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public Part getPart(String name) throws IOException, ServletException {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getMethod() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public int getIntHeader(String name) {
+        // TODO Auto-generated method stub
+        return 0;
+      }
+      
+      @Override
+      public Enumeration<String> getHeaders(String name) {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public Enumeration<String> getHeaderNames() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getHeader(String name) {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public long getDateHeader(String name) {
+        // TODO Auto-generated method stub
+        return 0;
+      }
+      
+      @Override
+      public Cookie[] getCookies() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getContextPath() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public String getAuthType() {
+        // TODO Auto-generated method stub
+        return null;
+      }
+      
+      @Override
+      public boolean authenticate(HttpServletResponse response) throws IOException, ServletException {
+        // TODO Auto-generated method stub
+        return false;
+      }
+    };
+  }
+}
diff --git a/id/server/moa-id-commons/pom.xml b/id/server/moa-id-commons/pom.xml
index f1f6edfe9..d72d5afe0 100644
--- a/id/server/moa-id-commons/pom.xml
+++ b/id/server/moa-id-commons/pom.xml
@@ -4,7 +4,7 @@
     <parent>
         <groupId>MOA.id</groupId>
         <artifactId>moa-id</artifactId>
-        <version>4.1.2</version>
+        <version>4.1.3</version>
     </parent>
     <artifactId>moa-id-commons</artifactId>
     <name>moa-id-commons</name>
diff --git a/id/server/moa-id-frontend-resources/pom.xml b/id/server/moa-id-frontend-resources/pom.xml
index 87f9cbed7..47a925aac 100644
--- a/id/server/moa-id-frontend-resources/pom.xml
+++ b/id/server/moa-id-frontend-resources/pom.xml
@@ -3,7 +3,7 @@
   <parent>
     <groupId>MOA.id</groupId>
     <artifactId>moa-id</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   
   <groupId>MOA.id.server</groupId>
diff --git a/id/server/moa-id-jaxb_classes/pom.xml b/id/server/moa-id-jaxb_classes/pom.xml
index 30f1bc5d4..584ef031a 100644
--- a/id/server/moa-id-jaxb_classes/pom.xml
+++ b/id/server/moa-id-jaxb_classes/pom.xml
@@ -3,7 +3,7 @@
   <parent>
     <groupId>MOA.id</groupId>
     <artifactId>moa-id</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   <groupId>MOA.id.server</groupId>
   <artifactId>moa-id-jaxb_classes</artifactId>
diff --git a/id/server/moa-id-spring-initializer/pom.xml b/id/server/moa-id-spring-initializer/pom.xml
index 8912ae83b..8e4bfe1f7 100644
--- a/id/server/moa-id-spring-initializer/pom.xml
+++ b/id/server/moa-id-spring-initializer/pom.xml
@@ -3,7 +3,7 @@
   <parent>
     <groupId>MOA.id</groupId>
     <artifactId>moa-id</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   
   <groupId>MOA.id.server</groupId>
diff --git a/id/server/modules/moa-id-modul-citizencard_authentication/pom.xml b/id/server/modules/moa-id-modul-citizencard_authentication/pom.xml
index 2eecc391a..05972cb6a 100644
--- a/id/server/modules/moa-id-modul-citizencard_authentication/pom.xml
+++ b/id/server/modules/moa-id-modul-citizencard_authentication/pom.xml
@@ -3,7 +3,7 @@
   <parent>
     <groupId>MOA.id.server.modules</groupId>
     <artifactId>moa-id-modules</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   <artifactId>moa-id-modul-citizencard_authentication</artifactId>
   
diff --git a/id/server/modules/moa-id-module-AT_eIDAS_connector/pom.xml b/id/server/modules/moa-id-module-AT_eIDAS_connector/pom.xml
index 27acb2223..aad4f2919 100644
--- a/id/server/modules/moa-id-module-AT_eIDAS_connector/pom.xml
+++ b/id/server/modules/moa-id-module-AT_eIDAS_connector/pom.xml
@@ -5,7 +5,7 @@
   <parent>
     <groupId>MOA.id.server.modules</groupId>
     <artifactId>moa-id-modules</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   <artifactId>moa-id-module-AT_eIDAS_connector</artifactId>
   <name>moa-id-module-AT_eIDAS_connector</name>
diff --git a/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/controller/EidasCentralAuthMetadataController.java b/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/controller/EidasCentralAuthMetadataController.java
index a0c1fa30b..5409e3a4c 100644
--- a/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/controller/EidasCentralAuthMetadataController.java
+++ b/id/server/modules/moa-id-module-AT_eIDAS_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eIDAScentralAuth/controller/EidasCentralAuthMetadataController.java
@@ -23,6 +23,7 @@
 package at.gv.egovernment.moa.id.auth.modules.eIDAScentralAuth.controller;
 
 import java.io.IOException;
+import java.net.URL;
 import java.util.ArrayList;
 import java.util.List;
 import java.util.Map;
@@ -76,29 +77,26 @@ public class EidasCentralAuthMetadataController extends AbstractController {
 	public void getSPMetadata(HttpServletRequest req, HttpServletResponse resp) throws IOException, EAAFException {
 		//check PublicURL prefix
 		try {
-			String authURL = HTTPUtils.extractAuthURLFromRequest(req);		
-			if (!authConfig.getPublicURLPrefix().contains(authURL)) {		
-				resp.sendError(HttpServletResponse.SC_FORBIDDEN, "No valid request URL");
-				return;
-				
-			} else {
-				//initialize metadata builder configuration
-				EidasCentralAuthMetadataConfiguration metadataConfig = 
-						new EidasCentralAuthMetadataConfiguration(authURL, credentialProvider, pvpConfiguration);
-				metadataConfig.setAdditionalRequiredAttributes(getAdditonalRequiredAttributes());
-				
-				
-				//build metadata
-				String xmlMetadata = metadatabuilder.buildPVPMetadata(metadataConfig);
-				
-				//write response
-				byte[] content = xmlMetadata.getBytes("UTF-8");
-				resp.setStatus(HttpServletResponse.SC_OK);
-				resp.setContentLength(content.length);
-				resp.setContentType(MediaType.XML_UTF_8.toString());
+			String authUrlString = HTTPUtils.extractAuthURLFromRequest(req);					
+			String authURL = authConfig.validateIDPURL(new URL(authUrlString));
+			Logger.trace("Build eIDAS Metadata for requestUrl: " + authURL);
+			
+			//initialize metadata builder configuration
+			EidasCentralAuthMetadataConfiguration metadataConfig = 
+					new EidasCentralAuthMetadataConfiguration(authURL, credentialProvider, pvpConfiguration);
+			metadataConfig.setAdditionalRequiredAttributes(getAdditonalRequiredAttributes());
+			
+			
+			//build metadata
+			String xmlMetadata = metadatabuilder.buildPVPMetadata(metadataConfig);
+			
+			//write response
+			byte[] content = xmlMetadata.getBytes("UTF-8");
+			resp.setStatus(HttpServletResponse.SC_OK);
+			resp.setContentLength(content.length);
+			resp.setContentType(MediaType.XML_UTF_8.toString());
 				resp.getOutputStream().write(content);
 
-			}
 			
 		} catch (Exception e) {
 			Logger.warn("Build federated-authentication PVP metadata FAILED.", e);
diff --git a/id/server/modules/moa-id-module-E-ID_connector/pom.xml b/id/server/modules/moa-id-module-E-ID_connector/pom.xml
index ac73237ae..e5cf307ab 100644
--- a/id/server/modules/moa-id-module-E-ID_connector/pom.xml
+++ b/id/server/modules/moa-id-module-E-ID_connector/pom.xml
@@ -5,7 +5,7 @@
   <parent>
     <groupId>MOA.id.server.modules</groupId>
     <artifactId>moa-id-modules</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   <artifactId>moa-id-module-EID_connector</artifactId>
   <name>moa-id-module-E-ID_connector</name>
diff --git a/id/server/modules/moa-id-module-E-ID_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eidproxyauth/controller/EIDAuthMetadataController.java b/id/server/modules/moa-id-module-E-ID_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eidproxyauth/controller/EIDAuthMetadataController.java
index 90ecb0942..9fbe04b98 100644
--- a/id/server/modules/moa-id-module-E-ID_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eidproxyauth/controller/EIDAuthMetadataController.java
+++ b/id/server/modules/moa-id-module-E-ID_connector/src/main/java/at/gv/egovernment/moa/id/auth/modules/eidproxyauth/controller/EIDAuthMetadataController.java
@@ -23,6 +23,7 @@
 package at.gv.egovernment.moa.id.auth.modules.eidproxyauth.controller;
 
 import java.io.IOException;
+import java.net.URL;
 import java.util.ArrayList;
 import java.util.List;
 import java.util.Map;
@@ -76,28 +77,24 @@ public class EIDAuthMetadataController extends AbstractController {
 	public void getSPMetadata(HttpServletRequest req, HttpServletResponse resp) throws IOException, EAAFException {
 		//check PublicURL prefix
 		try {
-			String authURL = HTTPUtils.extractAuthURLFromRequest(req);		
-			if (!authConfig.getPublicURLPrefix().contains(authURL)) {		
-				resp.sendError(HttpServletResponse.SC_FORBIDDEN, "No valid request URL");
-				return;
-				
-			} else {
-				//initialize metadata builder configuration
-				EIDAuthMetadataConfiguration metadataConfig = 
-						new EIDAuthMetadataConfiguration(authURL, credentialProvider, pvpConfiguration);
-				metadataConfig.setAdditionalRequiredAttributes(getAdditonalRequiredAttributes());	
-				
-				//build metadata
-				String xmlMetadata = metadatabuilder.buildPVPMetadata(metadataConfig);
-				
-				//write response
-				byte[] content = xmlMetadata.getBytes("UTF-8");
-				resp.setStatus(HttpServletResponse.SC_OK);
-				resp.setContentLength(content.length);
-				resp.setContentType(MediaType.XML_UTF_8.toString());
-				resp.getOutputStream().write(content);
-
-			}
+      String authUrlString = HTTPUtils.extractAuthURLFromRequest(req);          
+      String authURL = authConfig.validateIDPURL(new URL(authUrlString));
+      Logger.trace("Build E-ID Metadata for requestUrl: " + authURL);
+      
+			//initialize metadata builder configuration
+			EIDAuthMetadataConfiguration metadataConfig = 
+					new EIDAuthMetadataConfiguration(authURL, credentialProvider, pvpConfiguration);
+			metadataConfig.setAdditionalRequiredAttributes(getAdditonalRequiredAttributes());	
+			
+			//build metadata
+			String xmlMetadata = metadatabuilder.buildPVPMetadata(metadataConfig);
+			
+			//write response
+			byte[] content = xmlMetadata.getBytes("UTF-8");
+			resp.setStatus(HttpServletResponse.SC_OK);
+			resp.setContentLength(content.length);
+			resp.setContentType(MediaType.XML_UTF_8.toString());
+			resp.getOutputStream().write(content);
 			
 		} catch (Exception e) {
 			Logger.warn("Build E-ID Proxy PVP metadata FAILED.", e);
diff --git a/id/server/modules/moa-id-module-bkaMobilaAuthSAML2Test/pom.xml b/id/server/modules/moa-id-module-bkaMobilaAuthSAML2Test/pom.xml
index bd2eafa4d..47a9e28dc 100644
--- a/id/server/modules/moa-id-module-bkaMobilaAuthSAML2Test/pom.xml
+++ b/id/server/modules/moa-id-module-bkaMobilaAuthSAML2Test/pom.xml
@@ -3,7 +3,7 @@
   <parent>
     <groupId>MOA.id.server.modules</groupId>
     <artifactId>moa-id-modules</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   <artifactId>moa-id-module-bkaMobilaAuthSAML2Test</artifactId>
   <description>BKA MobileAuth Test for SAML2 applications</description>
diff --git a/id/server/modules/moa-id-module-eIDAS/pom.xml b/id/server/modules/moa-id-module-eIDAS/pom.xml
index f3f352c93..0171e844e 100644
--- a/id/server/modules/moa-id-module-eIDAS/pom.xml
+++ b/id/server/modules/moa-id-module-eIDAS/pom.xml
@@ -3,7 +3,7 @@
   <parent>
     <groupId>MOA.id.server.modules</groupId>
     <artifactId>moa-id-modules</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   <artifactId>moa-id-module-eIDAS</artifactId>
   <name>MOA-ID eIDAS Module</name>
diff --git a/id/server/modules/moa-id-module-elga_mandate_service/pom.xml b/id/server/modules/moa-id-module-elga_mandate_service/pom.xml
index 91c50e60b..c18057bc6 100644
--- a/id/server/modules/moa-id-module-elga_mandate_service/pom.xml
+++ b/id/server/modules/moa-id-module-elga_mandate_service/pom.xml
@@ -3,7 +3,7 @@
   <parent>
     <groupId>MOA.id.server.modules</groupId>
     <artifactId>moa-id-modules</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   <artifactId>moa-id-module-elga_mandate_service</artifactId>
   <version>${moa-id-module-elga_mandate_client}</version>
diff --git a/id/server/modules/moa-id-module-openID/pom.xml b/id/server/modules/moa-id-module-openID/pom.xml
index a24876a80..4b93e925b 100644
--- a/id/server/modules/moa-id-module-openID/pom.xml
+++ b/id/server/modules/moa-id-module-openID/pom.xml
@@ -3,7 +3,7 @@
   <parent>
     <groupId>MOA.id.server.modules</groupId>
     <artifactId>moa-id-modules</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   
 	<artifactId>moa-id-module-openID</artifactId>
diff --git a/id/server/modules/moa-id-module-sl20_authentication/pom.xml b/id/server/modules/moa-id-module-sl20_authentication/pom.xml
index cfb4bad4f..8f3b6269e 100644
--- a/id/server/modules/moa-id-module-sl20_authentication/pom.xml
+++ b/id/server/modules/moa-id-module-sl20_authentication/pom.xml
@@ -5,7 +5,7 @@
   <parent>
     <groupId>MOA.id.server.modules</groupId>
     <artifactId>moa-id-modules</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   <artifactId>moa-id-module-sl20_authentication</artifactId>
   <name>moa-id-module-sl20_authentication</name>
diff --git a/id/server/modules/moa-id-module-ssoTransfer/pom.xml b/id/server/modules/moa-id-module-ssoTransfer/pom.xml
index 88a197ab4..3bbbb7671 100644
--- a/id/server/modules/moa-id-module-ssoTransfer/pom.xml
+++ b/id/server/modules/moa-id-module-ssoTransfer/pom.xml
@@ -3,7 +3,7 @@
   <parent>
     <groupId>MOA.id.server.modules</groupId>
     <artifactId>moa-id-modules</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   <artifactId>moa-id-module-ssoTransfer</artifactId>
   <name>MOA-ID_SSO_Transfer_modul</name>
diff --git a/id/server/modules/moa-id-modules-federated_authentication/pom.xml b/id/server/modules/moa-id-modules-federated_authentication/pom.xml
index 0a570f99f..7c2f466c7 100644
--- a/id/server/modules/moa-id-modules-federated_authentication/pom.xml
+++ b/id/server/modules/moa-id-modules-federated_authentication/pom.xml
@@ -3,7 +3,7 @@
   <parent>
     <groupId>MOA.id.server.modules</groupId>
     <artifactId>moa-id-modules</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   <artifactId>moa-id-modules-federated_authentication</artifactId>
   <description>PVP2 ServiceProvider implementation for federated authentication</description>
diff --git a/id/server/modules/moa-id-modules-saml1/pom.xml b/id/server/modules/moa-id-modules-saml1/pom.xml
index 33aeeee20..cce0b0d9b 100644
--- a/id/server/modules/moa-id-modules-saml1/pom.xml
+++ b/id/server/modules/moa-id-modules-saml1/pom.xml
@@ -3,7 +3,7 @@
   <parent>
     <groupId>MOA.id.server.modules</groupId>
     <artifactId>moa-id-modules</artifactId>
-    <version>4.1.2</version>
+    <version>4.1.3</version>
   </parent>
   
 	<artifactId>moa-id-module-saml1</artifactId>
diff --git a/id/server/modules/module-monitoring/pom.xml b/id/server/modules/module-monitoring/pom.xml
index 4034dbec6..aefc632f1 100644
--- a/id/server/modules/module-monitoring/pom.xml
+++ b/id/server/modules/module-monitoring/pom.xml
@@ -5,7 +5,7 @@
 	<parent>
 		<groupId>MOA.id.server.modules</groupId>
 		<artifactId>moa-id-modules</artifactId>
-		<version>4.1.2</version>
+		<version>4.1.3</version>
 	</parent>
 
 	<artifactId>moa-id-module-monitoring</artifactId>
diff --git a/id/server/modules/pom.xml b/id/server/modules/pom.xml
index f1fd94344..839a8e72d 100644
--- a/id/server/modules/pom.xml
+++ b/id/server/modules/pom.xml
@@ -5,7 +5,7 @@
 	<parent>
 		<groupId>MOA.id</groupId>
 		<artifactId>moa-id</artifactId>
-		<version>4.1.2</version>
+		<version>4.1.3</version>
 	</parent>
 
 	<groupId>MOA.id.server.modules</groupId>
diff --git a/id/server/pom.xml b/id/server/pom.xml
index 330b626bb..203a423e8 100644
--- a/id/server/pom.xml
+++ b/id/server/pom.xml
@@ -4,7 +4,7 @@
     <parent>

         <groupId>MOA</groupId>

         <artifactId>id</artifactId>

-        <version>4.1.2</version>

+        <version>4.1.3</version>

     </parent>

 

     <modelVersion>4.0.0</modelVersion>

diff --git a/pom.xml b/pom.xml
index 3bf3260ec..4b5431bbf 100644
--- a/pom.xml
+++ b/pom.xml
@@ -6,7 +6,7 @@
   <groupId>MOA</groupId>
   <artifactId>MOA</artifactId>
   <packaging>pom</packaging>
-  <version>4.1.2</version>
+  <version>4.1.3</version>
   <name>MOA</name>
 
   <properties>
@@ -14,14 +14,14 @@
     <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
 
     <!-- Project Version -->
-    <moa-id-version>4.1.2</moa-id-version>
+    <moa-id-version>4.1.3</moa-id-version>
 
-    <moa-id-version-final>4.1.2</moa-id-version-final>
-    <moa-id-version-edu>4.1.2</moa-id-version-edu>
+    <moa-id-version-final>4.1.3</moa-id-version-final>
+    <moa-id-version-edu>4.1.3</moa-id-version-edu>
 
     <moa-id-proxy-version>2.0.1</moa-id-proxy-version>
 
-    <configtool-version>3.0.3</configtool-version>
+    <configtool-version>3.0.4</configtool-version>
     <demo-oa-version>2.0.7</demo-oa-version>
 
     <moa-id-module-elga_mandate_client>1.3.2</moa-id-module-elga_mandate_client>
@@ -29,9 +29,9 @@
     <!-- =================================================================================== -->
     <egiz-spring-api.version>0.3</egiz-spring-api.version>
     <egiz.eaaf.version>1.0.14</egiz.eaaf.version>
-    <org.springframework.version>5.2.7.RELEASE</org.springframework.version>
-    <org.springframework.data.spring-data-jpa>2.3.1.RELEASE</org.springframework.data.spring-data-jpa>
-    <org.springframework.data.spring-data-redis>2.3.1.RELEASE</org.springframework.data.spring-data-redis>
+    <org.springframework.version>5.2.8.RELEASE</org.springframework.version>
+    <org.springframework.data.spring-data-jpa>2.3.3.RELEASE</org.springframework.data.spring-data-jpa>
+    <org.springframework.data.spring-data-redis>2.3.3.RELEASE</org.springframework.data.spring-data-redis>
     <surefire.version>2.22.0</surefire.version>
 
     <jaxb.version>2.3.1</jaxb.version>
@@ -45,7 +45,7 @@
     <jaxws-api.version>2.3.1</jaxws-api.version>
     <jws-api.version>1.1</jws-api.version>
 
-    <hibernate.version>5.4.18.Final</hibernate.version>
+    <hibernate.version>5.4.21.Final</hibernate.version>
     <org.apache.commons.commons.dbcp2>2.7.0</org.apache.commons.commons.dbcp2>
 
     <cxf.version>3.3.7</cxf.version>
@@ -59,18 +59,18 @@
     <httpcore.version>4.4.13</httpcore.version>
 
     <!-- Maybe problems with Hibernate 5.0.10 -->
-    <mysql-connector.java>8.0.20</mysql-connector.java>
+    <mysql-connector.java>8.0.21</mysql-connector.java>
     <!-- <mysql-connector.java>5.1.40</mysql-connector.java> -->
 
     <junit.version>4.12</junit.version>
     <org.apache.commons.io.version>2.7</org.apache.commons.io.version>
-    <org.apache.commons.lang3.version>3.10</org.apache.commons.lang3.version>
+    <org.apache.commons.lang3.version>3.11</org.apache.commons.lang3.version>
     <org.apache.commons.collections4.version>4.4</org.apache.commons.collections4.version>
     <org.apache.commons.collections3.version>3.2.2</org.apache.commons.collections3.version>
-    <org.apache.commons-text.version>1.8</org.apache.commons-text.version>
+    <org.apache.commons-text.version>1.9</org.apache.commons-text.version>
     <jodatime.version>2.10.6</jodatime.version>
 
-    <jackson-version>2.11.1</jackson-version>
+    <jackson-version>2.11.2</jackson-version>
     <apache-cli-version>1.4</apache-cli-version>
     <spring-orm-version>${org.springframework.version}</spring-orm-version>
 
@@ -133,6 +133,12 @@
   </profiles>
 
   <build>
+    <resources>
+      <resource>
+        <directory>src/main/resources</directory>
+      </resource>
+    </resources>
+  
     <pluginManagement>
       <plugins>
         <plugin>
@@ -405,7 +411,7 @@
       <dependency>
         <groupId>org.apache.logging.log4j</groupId>
         <artifactId>log4j-core</artifactId>
-        <version>2.5</version>
+        <version>2.13.3</version>
       </dependency>
 
       <dependency>
@@ -423,7 +429,7 @@
       <dependency>
          <groupId>org.postgresql</groupId>
          <artifactId>postgresql</artifactId>
-         <version>42.2.9</version>
+         <version>42.2.16</version>
       </dependency>
 
       <dependency>
@@ -434,7 +440,7 @@
       <dependency>
         <groupId>commons-fileupload</groupId>
         <artifactId>commons-fileupload</artifactId>
-        <version>1.3.3</version>
+        <version>1.4</version>
       </dependency>
       <dependency>
         <groupId>commons-httpclient</groupId>