MOA-ID version 1.1 (initial)

git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@19 d688527b-c9ab-4aba-bd8d-4036d912da1d

1 files changed, 623 insertions, 0 deletions

diff --git a/id.server/doc/moa_id/id-admin_2.htm b/id.server/doc/moa_id/id-admin_2.htm
new file mode 100644
index 000000000..b4e22a36b
--- /dev/null
+++ b/id.server/doc/moa_id/id-admin_2.htm
@@ -0,0 +1,623 @@
+<html>
+<head>
+	<title>MOA ID-Administration</title>
+	<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
+	<meta content="heinz.rosenkranz@brz.gv.at" name="author"/>
+
+<style type="text/css">
+ 	body { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; }
+	td { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; }
+	th { font-family:"Verdana", "Arial"; font-size:10pt; font-weight:bold; color:#d8d8d8; background:#505050}
+	li { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px }
+	ul { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px }
+	tt { font-size:9pt; color:#505060; }
+	#titel    { font-family:"Verdana", "Arial"; font-size:18pt; color:#505060; }
+	#subtitel { font-family:"Verdana", "Arial"; font-size:12pt; color:#505060; font-weight:bold; }
+	#slogan   { font-family:"Verdana", "Arial"; font-size:8pt;  color:#808090; text-align:justify; width:160px }
+	#block    { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; text-align:justify }
+	#klein    { font-family:"Verdana", "Arial"; font-size:9pt;  color:#505060; margin-top:3px }
+	#info     { font-family:"Verdana", "Arial"; font-size:8pt;  color:#505060; padding:3px; border:solid 1px #c0c0c0 }
+	#infolist { font-family:"Verdana", "Arial"; font-size:8pt;  color:#505060; }
+	a:link    {color:#000090}
+	a:visited {color:#000090}
+	a:hover   {color:#c03030}
+	a         {text-decoration: none}
+</style>
+
+<script language="JavaScript">
+<!-- 
+function goWin(url) {
+	Fenster=window.open(url,"smallWin","toolbar=0,location=0,directories=0,status=0,menubar=0,resizable=yes,scrollbars=yes,width=500,height=480,top=20,screenY=0,left=20,screenX=0");
+	window.setTimeout("showWin()",300);
+}
+function showWin() { Fenster.focus(); }
+// -->
+</script>
+</head>
+
+<body bgcolor="#FFFFFF" >
+<div style="width:650px">
+
+<!-- Projekt-Logo -->
+<div style="height:42px; font-size:16pt; color:#b0b8c0; background:#003050">
+&#160;Module f&uuml;r Online-Applikationen
+</div>
+<div style="margin-left:8px; margin-top:3px; font-size:8pt; color:#707070; ">
+<!-- Development Center der BRZ GmbH, A-Trust und IAIK Graz -->&#160;
+</div>
+<div style="margin-top:-65px; text-align:right; font-size:8pt; font-weight:bold; color:#d04040;" > 
+Projekt <span style="font-size:48pt; ">moa</span>&#160;
+</div>
+<br />
+
+<!-- First Section with Navigation -->
+<table width="650" border="0" cellpadding="10" cellspacing="0">
+<tr>
+<td width="170"  valign="top">
+<div style="font-weight:bold; margin-top:12px">MOA-ID</div><br />
+<div id="klein"><a href="id-admin.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> 
+	<b> &uuml;bersicht</b></a></div>
+<div id="klein"><a href="id-admin_1.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> 
+	<b> Basis-Installation</b></a></div>
+<div id="klein"><img src="../moa_images/select.gif" border="0" width="13" height="14" /> 
+	<b> Konfiguration </b></div>
+<div id="klein"><a href="id-admin_3.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> 
+	<b> Optionale<br />&#160; &#160;&#160;Komponenten</b></a></div>
+<br />
+<div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" />
+	<b> Zur&uuml;ck</b></a></div>
+<br /><br />
+<div id="slogan">
+<a href="#moaid-konfiguration"><b>Konfiguration<br />von MOA-ID</b></a>
+<br /><br />
+<a href="examples/conf/MOA-ID-Configuration.xml" target="_new">Konfigurationsdatei</a>
+<br /><br />
+<b>Parameter-&uuml;bersicht</b><br />
+<a href="#ConnectionParameter">ConnectionParameter</a><br />
+<a href="#AuthComponent">AuthComponent</a><br />
+<a href="#BKUSelection" >&nbsp;&nbsp;BKUSelection</a><br />
+<a href="#SecurityLayer">&nbsp;&nbsp;SecurityLayer</a><br />
+<a href="#MOA-SP">&nbsp;&nbsp;MOA-SP</a><br />
+<a href="#IdentityLinkSigners">&nbsp;&nbsp;IdentityLinkSigners</a><br />
+<a href="#ProxyComponent">ProxyComponent</a><br />
+<a href="#OnlineApplication">OnlineApplication</a><br />
+<a href="#OnlineApplication/AuthComponent">&nbsp;&nbsp;AuthComponent</a><br />
+<a href="#OnlineApplication/ProxyComponent">&nbsp;&nbsp;ProxyComponent</a><br />
+<a href="#ChainingModes">ChainingModes</a><br />
+<a href="#TrustedCACertificates">TrustedCACertificates</a><br />
+<a href="#GenericConfiguration">GenericConfiguration</a><br />
+<br />
+<a href="#oa-config"><b>Konfiguration<br />der Online-Applikation</b></a><br />
+<br />
+<b>Parameter-&uuml;bersicht</b><br />
+<a href="#LoginType">LoginType</a><br />
+<a href="#ParamAuth">ParamAuth</a><br />
+<a href="#Parameter">&nbsp;&nbsp;ParamAuth/Parameter</a><br />
+<a href="#BasicAuth">BasicAuth</a><br />
+<a href="#HeaderAuth">HeaderAuth</a><br />
+<a href="#Header">&nbsp;&nbsp;HeaderAuth/Header</a><br />
+<br />
+<a href="#sp-config"><b>Konfiguration<br />von MOA-SP</b></a><br />
+<br />
+<a href="#verifytransformsInfoProfile">VerifyTransformsInfoProfile</a><br />
+<a href="#trustProfile">TrustProfile</a><br />
+<a href="#certstore">Certstore</a><br />
+<br />
+<a href="#online-config"><b>&auml;nderung der Konfig. <br />w&auml;hrend des Betriebs</b></a><br />
+
+<br />
+</div>
+
+</td>
+
+<td valign="top">
+<div id="titel">Konfiguration von MOA ID v.1.1</div>
+
+<div id="moaid-konfiguration" />
+<p id="subtitel">Konfiguration von MOA ID v.1.1</p>
+<p id="block">
+Die Konfiguration von MOA ID wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema
+<a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> entspricht, durchgef&uuml;hrt.
+<p />
+Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment der Web-Applikation
+in Tomcat</a> beschrieben.
+<p />
+Die folgenden Abschnitte erl&auml;utern das Format der Konfigurationsdatei.
+<a href="examples/conf/MOA-ID-Configuration.xml" target="_new">MOA-ID-Configuration.xml</a> zeigt ein Beispiel
+f&uuml;r eine umfassende Konfigurationsdatei.
+</p>
+Enth&auml;lt die Konfigurationsdatei relative Pfadangaben, werden diese relativ zum Verzeichnis, in dem Tomcat gestartet wurde, interpretiert.
+
+<div id="ConnectionParameter" />
+<p id="block">
+<b>ConnectionParameter</b> <br />
+Das Element <tt>ConnectionParameter</tt> enth&auml;lt Parameter, die MOA-ID f&uuml;r den Aufbau von Verbindungen zu anderen Komponenten
+ben&ouml;tigt.  Dieses Element tritt mehrfach in der Konfigurationsdatei auf und wird daher vorab detailliert beschrieben.
+<br /><br />
+Das Attribut <tt>URL</tt> enth&auml;lt die URL der Komponente zu der die Verbindung aufgebaut werden soll.
+Wird das Schema <tt>https</tt> verwendet, k&ouml;nnen die Kind-Elemente <tt>AcceptedServerCertificates</tt>
+und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt> verwendet m&uuml;ssen keine Kind-Elemente
+angegeben werden bzw. werden diese nicht ausgewertet.  Andere Schemas werden nicht unterst&uuml;tzt.
+<br /><br />
+Wird die Verbindung &uuml;ber TLS aufgebaut und erfordert der TLS-Server eine Client-Authentisierung
+mittels Zertifikate, dann muss das Kind-Element <tt>ClientKeyStore</tt> spezifiziert werden, und es muss 
+eine URL enthalten, die einen PKCS#12-Keystore mittels URL-Schema 'file:' referenziert.
+Diesem Keystore wird der private Schl&uuml;ssel f&uuml;r die TLS-Client-Authentisierung entnommen.
+Das Passwort zum Lesen des privaten Schl&uuml;ssels wird im Attribut <tt>ClientKeyStore/@password</tt> konfiguriert.<br />
+Aufgrund der Tatsache, dass starke Verschl&uuml;sselung eine Voraussetzung f&uuml;r MOA-ID darstellt, werden clientseitig nur die folgenden Cipher Suites unterst&uuml;tzt:<br/>
+<ul>
+<li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li>
+<li><tt>SSL_RSA_WITH_RC4_128_MD5</tt></li>
+<li><tt>SSL_RSA_WITH_3DES_EDE_CBC_SHA</tt></li>
+</ul>
+Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname angegeben werden, in dem die
+akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. Dieses Verzeichnis wird mittels URL-Schema 'file:' referenziert. In diesem Verzeichnis werden nur Serverzertifikate
+abgelegt. Fehlt dieser Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad zu den im Element <tt>&lt;TrustedCACertificates&gt;</tt> angegebenen Zertifikaten erstellt werden kann. Falls dies nicht m&ouml;glich ist, kommt es zu einem Fehlerfall.
+</p>
+
+
+<div id="AuthComponent" />
+<p id="block">
+<b>AuthComponent</b> <br />
+<tt>AuthComponent</tt> enth&auml;lt Parameter, die nur die MOA-ID Authentisierungskomponente betreffen.
+Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Authentisierungskomponente
+installiert wird.
+<br /><br />
+Das Element <tt>AuthComponent</tt> hat vier Kind-Element:
+<ul>
+<li><tt>BKUSelection</tt> (optional)</li>
+<li><tt>SecurityLayer</tt></li>
+<li><tt>MOA-SP</tt></li>
+<li><tt>IdentityLinkSigners</tt></li>
+</ul>
+</p>
+
+<div id="BKUSelection" />
+<p id="block">
+<b>AuthComponent/BKUSelection</b> <br />
+Das optionale Element <tt>BKUSelection</tt> enth&auml;lt Parameter zur Nutzung eines Auswahldienstes f&uuml;r eine
+B&uuml;rgerkartenumgebung (BKU).  Wird das Element nicht angegeben, dann wird  die lokale B&uuml;rgerkartenumgebung
+auf <tt>http://localhost:3495/http-security-layer-request</tt> verwendet.
+<br /><br />
+Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche Alternative zur BKU-Auswahl verwendet werden soll.  MOA-ID
+unterst&uuml;tzt die Werte <tt>HTMLComplete</tt> (vollst&auml;ndige HTML-Auswahl) und <tt>HTMLSelect</tt> (HTML-Code f&uuml;r Auswahl)
+[<a href="../bku-auswahl.20030408.pdf">"Auswahl von B&uuml;rgerkartenumge-bungen"</a>, Arno Hollosi].
+<br /><br />
+Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die Verbindung zum Auswahldienst (siehe 
+<a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>), jedoch kann das Kind-Element <tt>ClientKeyStore</tt>
+nicht angegeben werden.
+</p>
+
+<div id="SecurityLayer" />
+<p id="block">
+<b>AuthComponent/SecurityLayer</b> <br />
+Das Element <tt>SecurityLayer</tt> enth&auml;lt Parameter zur Nutzung des Security-Layers.
+<br /><br />
+Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine Transformation, die f&uuml;r die Erstellung der Signatur
+des AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt> des Security-Layers integriert werden muss.
+Mehrere unterschiedliche Implementierungen des Security-Layer k&ouml;nnen durch die Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterst&uuml;tzt werden.
+<br /><br />
+Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf eine Datei, die das globale Element <tt>TransformsInfo</tt> vom Typ
+<tt>TransformsInfo</tt> enth&auml;lt. Das Encoding dieser Datei muss (anders als im Beispiel) UTF-8 sein.
+<br /><br />
+<a href="examples/TransformsInfoAuthBlock.txt">Beispiel f&uuml;r eine TransformsInfo-Datei</a>
+</p>
+
+<div id="MOA-SP" />
+<p id="block">
+<b>AuthComponent/MOA-SP</b> <br />
+Das Element <tt>MOA-SP</tt> enth&auml;lt Parameter zur Nutzung von MOA-SP.  MOA-SP wird f&uuml;r die &uuml;berpr&uuml;fung der Signatur 
+der Personenbindung und des AUTH-Blocks verwendet.
+<br /><br />
+Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben, dann wird MOA-SP &uuml;ber das Webservice angesprochen, andernfalls
+wird MOA-SP &uuml;ber das API angesprochen.
+<br /><br />
+Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt> spezifiziert eine TrustProfileID, die f&uuml;r den
+<tt>VerifyXMLSignatureRequest</tt> zur &uuml;berpr&uuml;fung der Signatur der Personenbindung verwendet werden muss.
+<br /><br />
+Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt> und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt>
+spezifizieren eine TrustProfileID und eine ID f&uuml;r ein Transformationsprofil, die f&uuml;r den
+<tt>VerifyXMLSignatureRequest</tt> zur &uuml;berpr&uuml;fung der Signatur des Auth-Blocks verwendet werden m&uuml;ssen.
+</p>
+
+<div id="IdentityLinkSigners" />
+<p id="block">
+<b>AuthComponent/IdentityLinkSigners</b> <br />
+Dieses Element gibt an von welchen Signatoren die Signatur des IdentityLink erstellt werden musste
+damit der IdentityLink akzeptiert wird.  F&uuml;r jeden Signator muss der <tt>X509SubjectName</tt> nach RFC 2253
+spezifiziert werden.
+<br /><br />
+<a href="examples/IdentityLinkSigners.txt">Beispiel</a>
+<br /><br />
+</p>
+
+<div id="ProxyComponent" />
+<p id="block">
+<b>ProxyComponent</b> <br />
+<tt>ProxyComponent</tt> enth&auml;lt Parameter, die nur die MOA-ID Proxykomponente betreffen.
+Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Proxykomponente
+installiert wird.
+<br /><br />
+Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element <tt>AuthComponent</tt>, das die Verbindung zur
+Authentisierungs-komponente beschreibt.
+<br /><br />
+Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
+&uuml;ber ein Webservice auf, dann muss das Element <tt>ConnectionParameter</tt> spezifiziert werden.
+<br /><br />
+Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
+&uuml;ber das API auf, dann wird das Element <tt>ConnectionParameter</tt> nicht spezifiziert.
+</p>
+
+<div id="OnlineApplication" />
+<p id="block">
+<b>OnlineApplication</b> <br />
+F&uuml;r jede Online-Applikation, die &uuml;ber MOA-ID authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>.
+Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, teils die MOA-ID Proxykomponente, teils beide.
+<br /><br />
+Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt> entspricht dem URL-Pr&auml;fix der nach au&szlig;en sichtbaren
+Dom&auml;ne der Online-Applikation, welcher von der MOA-ID Proxykomponente durch den URL-Pr&auml;fix der wirklichen
+Dom&auml;ne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) ersetzt wird.
+Es dient als Schl&uuml;ssel zum Auffinden der Konfigurationsparameter zur Online-Applikation.
+<br /><br />
+Das Element <tt>OnlineApplication</tt> hat optional zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>.
+</p>
+
+<div id="OnlineApplication/AuthComponent" />
+<p id="block">
+<b>OnlineApplication/AuthComponent</b> <br />
+Das Element <tt>OnlineApplication/AuthComponent</tt> muss verwendet werden wenn auf dem Server die Authentisierungskomponente
+installiert wird.  Es enth&auml;lt Parameter, die das Verhalten der Authentisierungskomponente bez&uuml;glich der Online-Applikation
+konfiguriert.
+<br /><br />
+Das Attribut <tt>provideZMRZahl</tt> bestimmt, ob die ZMR-Zahl in den Anmeldedaten aufscheint.
+Analog steuern die Attribute <tt>provideAUTHBlock</tt> und <tt>provideIdentityLink</tt>, ob die Anmeldedaten
+den Auth-Block bzw. die Personenbindung enthalten.  Alle Attribute sind optional und haben den Default-Wert <tt>false</tt>.
+<br /><br />
+</p>
+
+<div id="OnlineApplication/ProxyComponent" />
+<p id="block">
+<b>OnlineApplication/ProxyComponent</b> <br />
+Das Element <tt>OnlineApplication/ProxyComponent</tt> muss verwendet werden wenn auf dem Server die Proxykomponente
+installiert wird.
+<br /><br />
+Das optionale Attribut <tt>configFileURL</tt> verweist auf eine Konfigurationsdatei die dem Schema
+<a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> entspricht mit Dokument-Element
+<tt>Configuration</tt>.<br />
+Default-Wert: <tt>http://&lt;realURLPrefix&gt;/MOAConfig.xml</tt>
+<br/>(<tt>&lt;realURLPrefix&gt;</tt> entspricht dem Wert von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>)
+<br /><br />
+Das optionale Attribut <tt>sessionTimeOut</tt> legt das Timeout einer Benutzersession in der
+Proxykomponente in Sekunden fest.<br />
+Default-Wert: 3600
+<br /><br />
+Im optionalen Attribut <tt>loginParameterResolverImpl</tt> kann der Klassenname eines
+zu verwendenden <tt>LoginParameterResolver</tt> angegeben werden, welcher die Defaultimplementierung ersetzt.
+<br /><br />
+Im optionalen Attribut <tt>connectionBuilderImpl</tt> kann der Klassenname eines zu verwendenden
+ConnectionBuilder angegeben werden, welcher die Defaultimplementierung ersetzt.
+<br /><br />
+Im Kind-Element <tt>ConnectionParameter</tt> ist konfiguriert, wie MOA-ID-PROXY zur Online-Applikation verbindet.
+</p>
+
+<div id="ChainingModes" />
+<p id="block">
+<b>ChainingModes</b><br />
+Das Element <tt>ChainingModes</tt> definiert, ob bei der Zertifikatspfad-&uuml;berpr&uuml;fung das Kettenmodell
+(<tt>"chaining"</tt>) oder das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>) verwendet werden soll.
+<br /><br />
+Das Attribut <tt>systemDefaultMode</tt> spezifiziert das Modell, das im Standardfall verwendet werden soll.
+<br/><br/>
+Mit dem Kind-Element <tt>TrustAnchor</tt> kann f&uuml;r jeden Trust Anchor ein abweichendes Modell spezifiziert werden.
+Ein Trust Anchor ist ein Zertifikat, das in <tt>TrustedCACertificates</tt> spezifiziert ist.
+Ein Trust Anchor wird durch den Typ <tt>&lt;dsig:X509IssuerSerialType&gt;</tt> spezifiziert.
+Das f&uuml;r diesen Trust Anchor g&uuml;ltige Modell wird durch das Attribut <tt>mode</tt> spezifiziert. 
+<br/><br/>
+G&uuml;ltige Werte f&uuml;r die Attribute <tt>systemDefaultMode</tt> und <tt>mode</tt> sind <tt>"chaining"</tt> und <tt>"pkix"</tt>.
+<br/><br/>
+<a href="examples/ChainingModes.txt">Beispiel</a>
+</p>
+
+<div id="TrustedCACertificates" />
+<p id="block">
+<b>TrustedCACertificates</b><br />
+Das Element <tt>TrustedCACertificates</tt> enth&auml;lt eine URL, die auf ein Verzeichnis verweist, das jene Zertifikate
+enth&auml;lt, die als vertrauensw&uuml;rdig betrachtet werden. Diese URL muss mittels URL-Schema 'file:' referenziert werden. Im Zuge der &Uuml;berpr&uuml;fung der TLS-Serverzertifikate wird die
+Zertifikatspfaderstellung an einem dieser Zertifikate beendet.
+</p>
+
+<div id="GenericConfiguration" />
+<p id="block">
+<b>GenericConfiguration</b><br />
+Das Element <tt>GenericConfiguration</tt> erm&ouml;glicht das Setzen von Namen-Werte Paaren mittels der Attribute
+<tt>name</tt> und <tt>value</tt>. Die folgende Liste spezifiziert 
+<ul>
+<li>g&uuml;ltige Werte f&uuml;r das name-Attribut, </li>
+<li>eine Beschreibung </li>
+<li>g&uuml;ltige Werte f&uuml;r das value-Attribut und (falls vorhanden)</li>
+<li>den Default-Wert f&uuml;r das value-Attribut. </li>
+</ul>
+
+<table border="0" cellspacing="3" cellpadding="2">
+<tr id="DirectoryCertStoreParameters.RootDir"><th align="left">name: DirectoryCertStoreParameters.RootDir</th></tr>
+<tr><td id="info">
+Gibt den Pfadnamen zu einem Verzeichnis an, das als Zertifikatsspeicher im Zuge der TLS-Server-Zertifikats&uuml;berpr&uuml;fung
+verwendet wird.<br />
+<hr />
+<b>value: </b><br />
+G&uuml;ltige Werte: Name eines g&uuml;ltigen Verzeichnisses<br />
+<b>Dieser Parameter muss angegeben werden.</b>
+</td></tr>
+</table>
+
+<table border="0" cellspacing="3" cellpadding="2">
+<tr id="AuthenticationSession.TimeOut"><th align="left">name: AuthenticationSession.TimeOut</th></tr>
+<tr><td id="info">
+Gibt die Zeitspanne in Sekunden vom Beginn der Authentisierung bis zum Anlegen der Anmeldedaten an.
+Wird die Angegebene Zeitspanne &uuml;berschritten wird der Anmeldevorgang abgebrochen.
+<br />
+<hr />
+<b>value: </b><br />
+G&uuml;ltige Werte: positive Ganzzahlen <br />
+Default-Wert: 120
+</td></tr>
+</table>
+
+<table border="0" cellspacing="3" cellpadding="2">
+<tr id="AuthenticationData.TimeOut"><th align="left">name: AuthenticationData.TimeOut</th></tr>
+<tr><td id="info">
+Gibt die Zeitspanne in Sekunden an, f&uuml;r die die Anmeldedaten in der Authentisierungskomponente zum Abholen
+durch die Proxykomponente oder eine nachfolgende Applikation bereitstehen.  Nach Ablauf dieser Zeitspanne werden die Anmeldedaten gel&ouml;scht.<br />
+<hr />
+<b>value: </b><br />
+G&uuml;ltige Werte: positive Ganzzahlen<br />
+Default-Wert: 600
+</td></tr>
+</table>
+
+<table border="0" cellspacing="3" cellpadding="2">
+<tr id="TrustManager.RevocationChecking"><th align="left">name: TrustManager.RevocationChecking</th></tr>
+<tr><td id="info">
+F&uuml;r die TLS-Server-Authentisierung d&uuml;rfen nur Server-Zertifikate verwendet werden, die eine CRLDP-Extension enthalten (andernfalls kann von MOA-ID keine CRL-&uuml;berpr&uuml;fung durchgef&uuml;hrt werden).
+<br />Soll das RevocationChecking generell ausgeschaltet werden, ist dieses Attribut anzugeben und auf "false" zu setzen.
+<br />
+<hr />
+<b>value: </b><br />
+G&uuml;ltige Werte: true, false<br />
+Default-Wert: true
+</td></tr>
+</table>
+
+
+</td></tr></table>
+
+
+<br /><br />
+<div id="oa-config" />
+<table width="650" border="0" cellpadding="10" cellspacing="0">
+<tr>
+<td width="170" valign="top" id="klein">
+<p id="subtitel">&#160;</p>
+<div id="slogan">
+<br /><br />
+</div>
+</td>
+<td valign="top">
+<p id="subtitel">Konfiguration der Online-Applikation</p>
+<div id="block">
+Die Konfiguration der OA beschreibt die Art und Weise, wie die Proxykomponente die Anmeldung an der Online-Applikation
+durchf&uuml;hrt.
+<br /><br />
+Der Name der Konfigurationsdatei wird in der Konfiguration von MOA-ID als Wert des Attributs
+<tt>configFileURL</tt> des Elements <tt>MOA-IDConfiguration/OnlineApplication/ProxyComponent</tt> hinterlegt.  
+<br/>Ist dieses Attribut nicht gesetzt, dann wird die Datei von <tt>http://&lt;realURLPrefix&gt;/MOAConfig.xml</tt> geladen,
+wobei <tt>&lt;realURLPrefix&gt;</tt> dem Konfigurationswert <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt> entspricht.
+<br /><br />
+Die Konfigurationsdatei ist eine XML-Datei, die dem Schema
+<a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> mit dem Wurzelelement 
+<tt>Configuration</tt> entspricht.
+</div>
+
+<div id="LoginType" />
+<p id="block">
+<b>LoginType</b><br />
+Das Element <tt>LoginType</tt> gibt an, ob die Online-Applikation ein einmaliges Login erwartet (<tt>stateful</tt>),
+oder ob die Login-Parameter bei jedem Request mitgegeben werden m&uuml;ssen (<tt>stateless</tt>). Im Fall einer stateful
+Online-Applikation werden die in der HTTP-Session der Proxykomponente gespeicherten Anmeldedaten nur f&uuml;r den Aufruf
+des Login-Scripts verwendet. Unmittelbar nach dem Aufruf werden sie gel&ouml;scht.
+<br />
+Default-Wert: <tt>stateful</tt>
+</p>
+</div>
+
+<div id="ParamAuth" />
+<p id="block">
+<b>ParamAuth</b><br />
+Konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Applikation mittels URL-Parametern.  Das Element
+kann ein oder mehrere Kind-Elemente <tt>&lt;Parameter&gt;</tt> beinhalten.
+</p>
+</div>
+
+<div id="Parameter" />
+<p id="block">
+<b>ParamAuth/Parameter</b><br />
+Das Element <tt>&lt;Paramter&gt;</tt> enth&auml;lt die Attribute <tt>Name</tt> und <tt>Value</tt>.
+<br /><br />
+Das Attribut <tt>Name</tt> beschreibt den Namen des Parameters und ist ein frei zu w&auml;hlender String.
+<br /><br />
+Das Attribut <tt>Value</tt> beschreibt den Inhalt des Parameters und kann einen der durch <tt>MOAAuthDataType</tt> beschriebenen
+Werte annehmen.  G&uuml;ltige Werte von <tt>MOAAuthDataType</tt> sind:
+<ul>
+<li><tt>MOAGivenName</tt> - der Vorname des Benutzers, wie in der Personenbindung enthalten
+<li><tt>MOAFamilyName</tt> - der Nachname des Benutzers, wie in der Personenbindung enthalten
+<li><tt>MOADateOfBirth</tt> - das Geburtsdatum des Benutzers, wie in der Personenbindung enthalten
+<li><tt>MOAVPK</tt> - die verfahrensspezifische Personenkennzeichnung des Benutzers, wie von der
+Authentisierungskomponente berechnet
+<li><tt>MOAPublicAuthority</tt> - wird durch <tt>true</tt> ersetzt, falls der Benutzer mit einem Zertifikat signierte, 
+welches eine <a href="../CIO X509ext-20030218.pdf">Beh&ouml;rdenerweiterung</a> beinhaltet. Andernfalls wird <tt>false</tt> gesetzt
+<li><tt>MOABKZ</tt> - das Beh&ouml;rdenkennzeichen (nur sinnvoll, wenn <tt>MOAPublicAuthority</tt> den Wert <tt>true</tt>
+ergibt)
+<li><tt>MOAQualifiedCertificate</tt> - wird durch <tt>true</tt> ersetzt, falls das Zertifikat des Benutzers
+qualifiziert ist, andernfalls wird <tt>false</tt> gesetzt
+<li><tt>MOAZMRZahl</tt> - die ZMR-Zahl des Benutzers; diese ist nur dann verf&uuml;gbar, wenn die Online-Applikation
+die ZMR-Zahl bekommen darf (und daher in der Personenbindung enthalten ist)
+<li><tt>MOAIPAddress</tt> - IP-Adresse des Client des Benutzers.
+</ul>
+
+Anhand der <tt>&lt;Parameter&gt;<tt>-Elemente wird der Request f&uuml;r den Login-Vorgang (f&uuml;r stateful Online-Applikationen)
+folgenderma&szlig;en zusammenge-stellt:<br />
+<blockquote>
+<code>GET https://&lt;login-url&gt;?<br />
+&nbsp;&nbsp;&lt;p1.name=p1.resolvedValue&gt;&<br />
+&nbsp;&nbsp;&lt;p2.name=p2.resolvedValue&gt;...</code>
+</blockquote>
+<p id="block">
+Die <tt>&lt;login-url&gt;</tt> ergibt sich aus dem Parameter OA des <a href="id-anwendung_1.htm">Aufrufs von MOA-ID-AUTH</a>,
+zusammen mit der Konfiguration von <tt>OnlineApplication/@publicURLPrefix</tt> und von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>.
+<br/>Der Wert <tt>resolvedValue</tt> wird in MOA-ID-PROXY je nach Wert des Platzhalters eingesetzt.
+</p>
+</div>
+<div id="BasicAuth" />
+<p id="block">
+<b>BasicAuth</b><br />
+Das Element <tt>BasicAuth</tt> konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Appliktion
+mittels HTTP Basic Authentication.  Es enth&auml;lt zwei Kind-Elemente.
+<br /><br />
+Das Element <tt>UserID</tt> gibt die UserId des zu authentisierenden Benutzers an und kann einen der durch 
+<tt>MOAAuthDataType</tt> beschriebenen Werte annehmen.
+<br /><br />
+Das Element <tt>Password</tt> gibt das Passwort des zu authentisierenden Benutzers an und kann einen der durch
+<tt>MOAAuthDataType</tt> beschriebenen Werte annehmen.
+</p>
+</div>
+
+<div id="HeaderAuth" />
+<p id="block">
+<b>HeaderAuth</b><br />
+Das Element <tt>HeaderAuth</tt> konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Applikation
+in HTTP Request Headern.  Das Element kann ein oder mehrere Kind-Elemente <tt>&lt;Header&gt;</tt> beinhalten.
+</p>
+</div>
+
+<div id="Header" />
+<p id="block">
+<b>HeaderAuth/Header</b><br />
+Das Element <tt>&lt;Header&gt;</tt> enth&auml;lt die Attribute Name und Value.
+<br /><br />
+Das Attribut <tt>Name</tt> beschreibt den Namen des Header und ist ein frei zu w&auml;hlender String. 
+<br /><br />
+Das Attribut <tt>Value</tt> beschreibt den Inhalt des Header und kann einen der durch <tt>MOAAuthDataType</tt>
+beschriebenen Werte annehmen.
+<br /><br />
+Die Header werden folgenderma&szlig;en in den Request an die Online-Applikation eingef&uuml;gt:
+<blockquote><pre>
+&lt;h1.name&gt;:&lt;h1.resolvedValue&gt;
+&lt;h2.name&gt;:&lt;h2.resolvedValue&gt;
+...
+</pre></blockquote>
+Der Wert <tt>resolvedValue</tt> wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt.
+Etwaige Header aus dem urspr&uuml;nglichen Request an die Proxykomponente, die denselben Namen haben, m&uuml;ssen
+&uuml;berschrieben werden.
+</p>
+</div>
+</td></tr></table>
+
+
+<div id="sp-config" />
+<table width="650" border="0" cellpadding="10" cellspacing="0">
+<tr>
+<td width="170" valign="top" id="klein">
+<p id="subtitel">&#160;</p>
+<div id="slogan">
+<br /><br />
+</div>
+</td>
+<td valign="top">
+<p id="subtitel">Konfiguration von MOA-SP</p>
+<div id="block">
+
+<p id="block">
+MOA-ID &uuml;berpr&uuml;ft die Signaturen der Personenbindung und des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt>
+von MOA-SP.  Dazu muss MOA-SP wie unten beschreiben konfiguriert werden.
+<br /><br />
+Ein Auszug einer beispielhaften MOA-SP Konfigurationsdatei, die diese Konfigurationsparameter enth&auml;lt ist in
+<tt>$MOA_ID_INST_AUTH/conf/moa-spss/ SampleMOASPSSConfiguration.xml</tt> enthalten.
+
+</p>
+
+<div id="verifytransformsInfoProfile" />
+<p id="block">
+<b>VerifyTransformsInfoProfile</b><br />
+Der Request zum &uuml;berpr&uuml;fen der Signatur des AUTH-Blocks verwendet ein vordefiniertes VerifyTransformsInfoProfile.
+Die im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei
+im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ VerifyTransformsInfoProfileID</tt> definiert.
+Entsprechend muss am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender ID definiert werden.  Die 
+Profiledefinition selbst ist in der Auslieferung von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt>
+enthalten. Diese Profildefinition muss unver&auml;ndert &uuml;bernommen werden.
+</p>
+</div>
+
+<div id="trustProfile" />
+<p id="block">
+<b>TrustProfile</b><br />
+Die Requests zur &uuml;berpr&uuml;fung der Signatur verwenden vordefinierte TrustProfile.
+Die im Request verwendete Profil-IDs werden in der MOA-ID Konfigurationsdatei
+in den Elementen <tt>/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyIdentityLink/ TrustProfileID</tt> und
+<tt>/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyAuthBlock/TrustProfileID</tt> definiert.  Diese beiden Elemente
+k&ouml;nnen unterschiedliche oder identische TrustProfileIDs enthalten.
+Am MOA-SP Server m&uuml;ssen TrustProfile mit gleichlautender ID definiert werden.
+Die Auslieferung von MOA-ID enth&auml;lt das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/trustprofiles/MOAIDBuergerkarteRoot</tt>,
+das als TrustProfile verwendet werden kann.  Weitere Zertifikate k&ouml;nnen als vertrauensw&uuml;rdig hinzugef&uuml;gt werden.
+</p>
+</div>
+
+<div id="certstore" />
+<p id="block">
+<b>Certstore</b><br />
+Zum Aufbau eines Zertifikatspfades k&ouml;nnen ben&ouml;tigte Zertifikate aus einem Zertifikatsspeicher verwendet werden.
+Die Auslieferung von MOA-ID enth&auml;lt das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/certstore</tt>, das als initialer 
+Zertifikatsspeicher verwendet werden kann. 
+</p>
+</div>
+
+</div>
+</td></tr></table>
+
+
+<div id="online-config" />
+<table width="650" border="0" cellpadding="10" cellspacing="0">
+<tr>
+<td width="170" valign="top" id="klein">
+<p id="subtitel">&#160;</p>
+<div id="slogan">
+<br /><br />
+</div>
+</td>
+<td valign="top">
+<p id="subtitel">&Auml;nderung der Konfiguration w&auml;hrend des Betriebs</p>
+<div id="block">
+Der Inhalt dieser Konfiguration, bzw. jene Teile, auf die indirekt verwiesen wird, k&ouml;nnen w&auml;hrend des laufenden
+Betriebes des MOA-Servers ge&auml;ndert werden. Der Server selbst wird durch den Aufruf einer <a href="id-admin_1.htm#ConfigUpdate">URL</a>
+(im Applikationskontext von MOA ID) dazu veranlasst, die ge&auml;nderte Konfiguration neu einzulesen.
+Im Falle einer fehlerhaften neuen Konfiguration wird die urspr&uuml;ngliche Konfiguration beibehalten. 
+</div>
+
+
+</td></tr></table>
+<br /><br />
+
+
+
+<table width="650" border="0" cellpadding="10" cellspacing="0">
+<tr>
+<td width="170" valign="top"><br /></td>
+<td valign="top">
+<hr />
+<div style="font-size:8pt; color:#909090">&copy; 2003 <!-- Development Center, BRZ GmbH --></div>
+</td></tr></table>
+<br />
+
+
+</div>
+</body>
+</html>
\ No newline at end of file