aboutsummaryrefslogtreecommitdiff
path: root/id/server/doc/handbook/application
diff options
context:
space:
mode:
authorThomas Lenz <thomas.lenz@egiz.gv.at>2014-03-25 22:02:54 +0100
committerThomas Lenz <thomas.lenz@egiz.gv.at>2014-03-25 22:02:54 +0100
commitfc189a2e69c7468c12621b7d4a3c94343d1a672c (patch)
tree89d9e08195bf3c708115ded47a8e588c6e4acbb0 /id/server/doc/handbook/application
parent242a22849402a13e585fada9d055a85f1c6d1ee8 (diff)
parent1b47a1e5f5787a3d1681cdee8b8bc1ec7a5cd9c9 (diff)
downloadmoa-id-spss-fc189a2e69c7468c12621b7d4a3c94343d1a672c.tar.gz
moa-id-spss-fc189a2e69c7468c12621b7d4a3c94343d1a672c.tar.bz2
moa-id-spss-fc189a2e69c7468c12621b7d4a3c94343d1a672c.zip
merge
Diffstat (limited to 'id/server/doc/handbook/application')
-rw-r--r--id/server/doc/handbook/application/application.html212
-rw-r--r--id/server/doc/handbook/application/iframe.pngbin0 -> 86175 bytes
-rw-r--r--id/server/doc/handbook/application/login_button.PNGbin0 -> 70066 bytes
-rw-r--r--id/server/doc/handbook/application/mainframe.PNGbin0 -> 59073 bytes
-rw-r--r--id/server/doc/handbook/application/sso_sendassertion.PNGbin0 -> 6041 bytes
5 files changed, 212 insertions, 0 deletions
diff --git a/id/server/doc/handbook/application/application.html b/id/server/doc/handbook/application/application.html
new file mode 100644
index 000000000..83e301089
--- /dev/null
+++ b/id/server/doc/handbook/application/application.html
@@ -0,0 +1,212 @@
+<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
+<html>
+<head>
+ <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" >
+ <title>MOA-ID - Anwendungen</title>
+ <link rel="stylesheet" href="../common/MOA.css" type="text/css">
+</head>
+<body link="#990000">
+ <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
+ <tr>
+ <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
+ <td align="center" class="logoTitle">Dokumentation</td>
+ <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
+ </tr>
+ </table>
+ <hr/>
+ <p class="title"><a href="../index.html">MOA-ID (Identifikation) </a></p>
+<p class="subtitle">Anwendungen</p>
+ <hr/>
+ <h1>Inhalt</h1>
+ <ol>
+ <li><a href="#allgemeines">Allgemeines</a></li>
+ <li><a href="#bkuselection">Integration in bestehende Online-Applikationen</a>
+<ol>
+ <li><a href="#bkuselection">B&uuml;rgerkartenauswahl</a>
+<ol>
+<li><a href="#Request aus einem iFrame">Request aus einem iFrame</a></li>
+ <li><a href="#Request aus dem Hauptframe">Request aus dem Hauptframe</a></li>
+ </ol>
+ </li>
+ <li><a href="#Single Sign-On Anmeldeabfrage">Single Sign-On Anmeldeabfrage</a></li>
+ </ol>
+ </li>
+ <li><a href="DemoApp">Demo Applikationen</a>
+ <ol>
+ <li><a href="#DemoApp_pvp21">PVP 2.1 Demo</a>
+ <ol>
+ <li><a href="#DemoApp_pvp21_install">Installation</a></li>
+ <li><a href="#DemoApp_pvp21_config">Konfiguration Demo Applikation</a></li>
+ <li><a href="#DemoApp_pvp21_config_moaidauth">Konfiguration von MOA-ID-Auth</a></li>
+ <li><a href="#DemoApp_pvp21_use">Anwendung</a></li>
+ </ol>
+ </li>
+ </ol>
+ </li>
+ </ol>
+ <hr/>
+ <h1><a name="allgemeines"></a>1 Allgemeines</h1>
+ <p>Das erste Kapitel behandelt die Integration der von MOA-ID-Auth generierten B&uuml;rgerkartenauswahl in bestehende Online-Applikationen. Zus&auml;tzlich zur Beschreibung ist MOA-ID auch eine PVP 2.1 Demo Applikation beigelegt. Die Konfiguration und Verwendung dieser Demo Applikation ist Inhalt des letzten Kapitels.</p>
+<h1><a name="bkuselection" id="allgemeines_zugangspunkte2"></a>2 Integration in bestehende Online-Applikationen</h1>
+ <p>Ab MOA-ID 2.0 wird die B&uuml;rgerkartenauswahl und die Single Sign-On Anmeldeabfrage standardm&auml;&szlig;ig vom Modul MOA-ID-Auth bereitgestellt und muss nicht mehr durch den Service Provider implementiert werden.</p>
+ <p>Die im Modul MOA-ID-Auth hinterlegten Standard Templates (<a href="./../config/config.html#import_template_bku">B&uuml;rgerkartenauswahl</a>, <a href="./../config/config.html#import_template_sso">Single Sign-On Anmeldeabfrage</a>) unterst&uuml;tzt Responsive Design und passen sich somit in einem weiten Bereich an die aktuelle Fenstergr&ouml;&szlig;e an, wodurch eine individuelle Integration der von MOA-ID-Auth erzeugten Formulare m&ouml;glich ist. Zus&auml;tzlich bietet das Konfigurationstool die M&ouml;glichkeit der <a href="./../config/config.html#konfigurationsparameter_oa_additional_formular">online-applikationsspezifischen Anpassung der Standard Templates</a>. Mit dieser Funktion k&ouml;nnen einzelne Parameter der Standard Templates an die Online-Applikation individualisiert werden um die Integration weiter zu verfeinern.</p>
+ <p><strong>Hinweis:</strong> Es besteht jedoch auch die M&ouml;glichkeit der Hinterlegung von vollst&auml;ndig benutzerdefinierten online-applikationsspezifischen Templates f&uuml;r die B&uuml;rgerkartenauswahl und die Single Sign-On Anmeldeabfrage (siehe <a href="./../config/config.html#konfigurationsparameter_oa_bku">hier</a>).</p>
+<h2><a name="bkuselection" id="allgemeines_zugangspunkte6"></a>2.1 B&uuml;rgerkartenauswahl</h2>
+<p>Die B&uuml;rgerkartenauswahl wird ab MOA-ID 2.0 standardm&auml;&szlig;ig von MOA-ID-Auth, als Antwort auf einen eingehenden Authentifizierungsrequest, bereitgestellt. Dem zu Folge m&uuml;ssen die aus MOA-ID 1.5.1 bekannten Parameter (target, bkuURL, template, usemandate) nicht mehr im Authentifizierungsrequest an MOA-ID-Auth &uuml;bergeben werden und es kann ein standardkonformer Protokollrequest verwendet werden. Die aus MOA-ID 1.5.1 bekannte Variante der B&uuml;rgerkartenauswahl in der Online-Applikation des Service Providers steht jedoch weiterhin als <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Variante</a> zur Verf&uuml;gung.</p>
+<p>Die Integration der von MOA-ID-Auth bereitgestellten B&uuml;rgerkartenauswahl in eine bestehende Online-Applikation kann auf zwei Arten erfolgen. Bei beiden Varianten erfolgt der Login Vorgang (senden des Authentifizierungsrequests an MOA-ID-Auth) durch den Klick auf einen Login Button. Die Auswahl der B&uuml;rgerkartenumgebung erfolgt somit erst im zweiten Schritt. Das Sequenzdiagramm eines solchen Anmeldevorgangs finden Sie <a href="./../intro/intro.html#ablauf">hier</a> und die nachfolgende Grafik zeigt ein Beispiel zur Integration eines Login Buttons.</p>
+<p><img src="login_button.PNG" width="853" height="683" alt="Integration Login Button"></p>
+<h3><a name="bkuselection_iframe" id="allgemeines_zugangspunkte5"></a>2.1.1 Request aus einem iFrame</h3>
+<p>Bei dieser Variante wird der Authentifizierungsrequests aus einem iFrame, welcher in die Online-Applikation eingebunden ist, abgesetzt. MOA-ID-Auth antwortet auf diesen Request mit der konfigurierten B&uuml;rgerkartenauswahl welche durch Verwendung des iFrame in die Online-Applikation eingebunden werden kann. Die nachfolgende Grafik zeigt ein Beispiel f&uuml;r die von MOA-ID-Auth bereitgestellte B&uuml;rgerkartenauswahl, welche nach Bet&auml;tigung des Login Buttons im iFrame dargestellt wird. </p>
+<p><img src="iframe.png" width="752" height="764" alt="B&uuml;rgerkartenauswahl im iFrame"></p>
+<p><strong>Hinweis:</strong> Bei dieser Variante wird die Assertion ebenfalls an den iFrame ausgeliefert wodurch der authentifizierte Bereich der Online-Applikation im iFrame dargestellt wird. Dieses Verhalten kann durch eine <a href="./../config/config.html#konfigurationsparameter_oa_additional_formular">online-applikationsspezifischen Anpassung der Standard Templates</a> und dem Parameter <em>Targetparameter</em> unterbunden werden.</p>
+<h3><a name="bkuselection_mainframe" id="allgemeines_zugangspunkte7"></a>2.1.2 Request aus dem Hauptframe</h3>
+<p>Bei dieser Variante wird der Authentifizierungsrequests direkt aus dem aktuell offenen Browserfenster an MOA-ID-Auth gesendet. In diesem Fall wird die B&uuml;rgerkartenauswahl fensterf&uuml;llend im Browser dargestellt und die BenutzerIn oder der Benutzer befindet sich nicht mehr in der Domain der Online-Applikation (Service Providera). Nach erfolgreicher Authentifizierung wird die BenutzerIn oder der Benutzer an die Online-Applikation zur&uuml;ckgeleitet. Die nachfolgende Grafik zeigt die B&uuml;rgerkartenauswahl im seitenf&uuml;llenden Layout.</p>
+<p><img src="mainframe.PNG" width="1330" height="822" alt="B&uuml;rgerkartenauswahl im seitenf&uuml;llenden Layout"></p>
+<h2><a name="ssoquestion" id="allgemeines_zugangspunkte3"></a> 2.2 Single Sign-On Anmeldeabfrage</h2>
+<p>Wird f&uuml;r die Integration in die Online-Applikation die Variante mit dem Login Button und der von MOA-ID-Auth bereitgestellten B&uuml;rgerkartenauswahl verwendet (<a href="#bkuselection_iframe">iFrame</a> oder <a href="#bkuselection_mainframe">Hauptframe</a>), ergeben sich f&uuml;r die Single Sign-On Anmeldeabfrage keine zus&auml;tzlichen Anforderungen. Im Falle einer aktiven Single Sign-On Session, w&uuml;rde MOA-ID-Auth mit der Single Sign-On Anmeldeabfrage anstatt der B&uuml;rgerkartenauswahl antworten. Auch in diesem Fall stehen beide M&ouml;glichkeiten der Integration, identisch zum Kapitel B&uuml;rgerkartenauswahl, zur Verf&uuml;gung. Die nachfolgende Grafik zeigt eine Single Sign-On Abfrage welche je nach verwendeter Variante die B&uuml;rgerkartenauswahl, in den zuvor gezeigten Beispielen, ersetzen w&uuml;rde.</p>
+<p><img src="sso_sendassertion.PNG" width="383" height="240" alt="Single Sign-On Anmeldeabfrage"></p>
+<p><strong>Hinweis:</strong> Wird f&uuml;r die Integration der B&uuml;rgerkartenauswahl jedoch die <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Variante</a> verwendet (direkte Integration der B&uuml;rgerkartenauswahl in die Online-Applikation) kann es zu Inkompatibilit&auml;ten mit der Single Sign-On Anmeldeabfrage kommen, da diese Abfrage von MOA-ID-Auth generiert werden muss und eine direkte Integration in eine Online-Applikation nicht m&ouml;glich ist. </p>
+<h2><a name="DemoApp" id="allgemeines_zugangspunkte4"></a>3 Demo Applikationen</h2>
+<p>Diese Abschnitt behandelt die Konfiguration und Verwendung der bei MOA-ID beigelegten Demo Applikationen.</p>
+<h2><a name="DemoApp_pvp21" id="allgemeines_zugangspunkte"></a>3.1 PVP 2.1 Demo</h2>
+<p>Die PVP 2.1 Demo stellt das Minimalbeispiel einer Online-Applikation dar, welche zur Authentifizierung das Protokoll PVP 2.1 verwendet. Die nachfolgenden Abschnitte beschreiben die Installation, Konfiguration und Verwendung der PVP 2.1 Demo Applikation.</p>
+<p><strong>Hinweis:</strong> Der Source Code der PVP 2.1 Demo Applikation ist im Order <code>$MOA_ID_AUTH_INST/source/moa-id-oa</code> verf&uuml;gbar. Jedoch ist die Validierung der PVP 2.1 Assertion in dieser Version nicht vollst&auml;ndig implementiert und m&uuml;sste bei Verwendung in einem Produktivsystem noch erweitert werden.</p>
+<h3><a name="DemoApp_pvp21_install" id="allgemeines_zugangspunkte9"></a>3.1.1 Installation</h3>
+<p>F&uuml;r die Installation der Demo Applikation wird ein Apache Tomcat ben&ouml;tigt. Die Konfiguration dieser Tomcat Instanz ist identisch zur <a href="./../install/install.html#webservice_basisinstallation">Konfiguration der Tomcat Instanz</a> der Module MOA-ID-Auth und MOA-ID-Configuration.</p>
+<h5><a name="DemoApp_pvp21_install_demooa" id="allgemeines_zugangspunkte10"></a>3.1.1.1 Einsatz der Demo Applikation in Tomcat</h5>
+<ul>
+ <li>Die Datei <code>$MOA_ID_AUTH_INST/moa-id_oa.war</code> enth&auml;lt das einsatzfertige Webarchiv der Demo Applikation und muss ins Verzeichnis <code>$CATALINA_HOME/webapps</code> kopiert werden. Dort wird sie beim ersten Start von Tomcat automatisch ins Verzeichnis <code>$CATALINA_HOME/webapps/moa-id-oa</code> entpackt. </li>
+ <li>Die Konfigurationsdatei mit der Basiskonfiguration f&uuml;r die Demo Applikation und die zugeh&ouml;rigen Verzeichnisse m&uuml;ssen in ein beliebiges Verzeichnis im Dateisystem kopiert werden (z.B. <code>$CATALINA_HOME/conf/moa-id-oa</code>). Eine funktionsf&auml;hige Konfiguration, die als Ausgangspunkt f&uuml;r die Basiskonfiguration der Demo Applikation dienen kann, finden Sie <a href="../../../conf/moa-id-oa/oa.properties">hier</a>. <br>
+ </li>
+ <li> Die Dateien <code>xalan.jar</code>, <code>xercesImpl.jar, serializer.jar </code> und <code>xml-apis.jar</code> aus dem Verzeichnis <code>$MOA_ID_AUTH_INST/endorsed</code> m&uuml;ssen in das Tomcat-Verzeichnis <code>$CATALINA_HOME/endorsed</code> (bzw. <code>$CATALINA_HOME/common/endorsed</code> bis Apache Tomcat Version 5.5) kopiert werden. Sind gleichnamige Dateien dort bereits vorhanden, m&uuml;ssen sie &uuml;berschrieben werden. Die ggf. in diesem Verzeichnis vorhandene Datei <code>xmlParserAPIs.jar</code> muss gel&ouml;scht werden. Sollte das Verzeichnis <code>endorsed</code> nicht vorhanden sein, dann muss dieses zuerst erstellt werden.</li>
+ <li>Folgende <span class="term">System Properties</span> k&ouml;nnen gesetzt werden (wird beim Starten von Tomcat der <span class="term">Java Virtual Machine</span> in der Umgebungsvariablen <code>CATALINA_OPTS</code> in der Form <code>-D&lt;name&gt;=&lt;wert&gt;</code> &uuml;bergeben):
+ <ul>
+ <li><code>moa.id.demoOA</code>: Pfad und Name der Basiskonfigurationsdatei f&uuml;r die Demo Applikation. Eine beispielhafte Konfigurationsdatei fnden Sie <a href="../../../conf/moa-id-oa/oa.properties">hier</a>. Wird ein relativer Pfad angegeben, wird dieser relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
+ <li><code>log4j.configuration</code>: URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration finden Sie <a href="../../../conf/moa-spss/log4j.properties">hier</a>. Wird eine relative URL angegeben, wird diese als File-URL relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert. Ist diese <span class="term">System Property</span> nicht gesetzt, wird automatisch eine im Webarchiv unter <code>WEB-INF/classes</code> enthaltene Default-Konfiguration herangezogen.</li>
+ <li><code>javax.net.ssl.trustStore</code>: Pfad und Dateiname des <span class="term">Truststores</span> f&uuml;r vertrauensw&uuml;rdige SSL Client-Zertifikate (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). Ein relativer Pfad werden relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
+ <li><code>javax.net.ssl.trustStorePassword</code>: Passwort f&uuml;r den <span class="term">Truststore</span> (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). </li>
+ <li><code>javax.net.ssl.trustStoreType</code>: Truststore-Typ (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). Je nach verwendetem Keystore-Typ muss <code>jks</code> (<span class="term">Java Key Store</span>) oder <code>pkcs12</code> (PKCS#12-Datei) angegeben werden.</li>
+ </ul>
+ </li>
+</ul>
+<h4><a name="DemoApp_pvp21_install_start" id="allgemeines_zugangspunkte11"></a>3.1.1.2 Einsatz der Demo Applikation in Tomcat</h4>
+<p>Das starten und stoppen der Demo Applikation erfolgt identisch zur Beschreibung f&uuml;r die Module MOA-ID-Auth und MOA-ID-Configuration.</p>
+<p>Ein erfolgreicher Start der Demo Applikation ist an folgender Log-Meldung ersichtlich:</p>
+<pre>INFO at.gv.egovernment.moa.id.demoOA.Configuration - Demo Application initializaten finished.</pre>
+<p>Nach dem Starten von Tomcat steht die Demo Applikation zur Verf&uuml;gung.</p>
+<pre>http://&lt;host&gt;:&lt;port&gt;/moa-id-oa/</pre>
+<p>bzw. </p>
+<pre>
+https://&lt;host&gt;:&lt;port&gt;/moa-id-oa/
+</pre>
+<h3><a name="DemoApp_pvp21_config" id="allgemeines_zugangspunkte8"></a>3.1.2 Konfiguration Demo Applikation</h3>
+<p>Die zentrale Konfigurationsdatei f&uuml;r die Demo Applikation wird der <span class="term">Java Virtual Machine</span>, in der die Demo Applikation l&auml;uft, durch eine <span class="term">System Property </span> mitgeteilt (wird beim Starten der <span class="term">Java Virtual Machine</span> in der Form <code>-D&lt;name&gt;=&lt;wert&gt;</code> gemacht). Der Name der <span class="term">System Property</span> lautet <code>moa.id.demoOA</code> als Wert der <span class="term">System Property</span> ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.</p>
+<pre>moa.id.demoOA=C:/Programme/apache/tomcat-4.1.30/conf/moa-id-oa/oa.properties</pre>
+<p>Dieses Konfigurationsdatei beinhaltet folgende Parameter. </p>
+<table width="1247" border="1">
+ <tr>
+ <th width="395" scope="col">Name</th>
+ <th width="271" scope="col">Beispielwert</th>
+ <th width="559" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.idp.metadata.url</td>
+ <td>https://demo.egiz.gv.at/moa-id-auth/<br>
+ pvp2/metadata</td>
+ <td>URL unter der die PVP2.1 Metadaten des IDP abgeholt werden k&ouml;nnen.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.idp.metadata.certificate</td>
+ <td>keys/metadata.crt</td>
+ <td>Zertifikat mit dem die PVP2.1 Metadaten des IDP signiert sind. Dieser Zertifikat wird zur Pr&uuml;fung der IDP Metadaten verwendet.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.idp.metadata.entityID</td>
+ <td>https://demo.egiz.gv.at/moa-id-auth/</td>
+ <td>EntityID des IDP in den Metadaten (Details siehe PVP2.1 Spezifikation)</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.idp.sso.logout.url</td>
+ <td>https://demo.egiz.gv.at/moa-id-auth/LogOut?redirect=<br>
+ https://demo.egiz.gv.at/moa-id-oa</td>
+ <td>URL zum Single Log-Out (SLO) Service des IDP. Details zum SLO Service von MOA-ID-Auth finden Sie <a href="./protocol/protocol.html#allgemeines_ssologout">hier</a>.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.metadata.entities.name</td>
+ <td>PVP 2.1 Demo</td>
+ <td>Name der Applikation, welcher in den Metadaten der Applikation angegeben wird</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.url</td>
+ <td>keys/moa_idp.p12</td>
+ <td>Keystore mit Schl&uuml;ssel und Zertifikaten welche f&uuml;r das signieren und verschl&uuml;sseln der PVP2.1 Nachrichten verwendet werden sollen.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.password</td>
+ <td>123456</td>
+ <td>Passwort des Keystores</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.type</td>
+ <td>PKCS12</td>
+ <td><p>Type des Keystores. Aktuell werden folgene Keystore Typen unterst&uuml;tzt</p>
+ <ul>
+ <li>PKCS12: PKCS12 Keystor</li>
+ <li>JKS: Java-Keystore</li>
+ </ul></td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.metadata.key.alias</td>
+ <td>metadata</td>
+ <td>Name des Schl&uuml;ssels der zum Signieren der Metadaten des Modules MOA-ID-Configuration verwendet werden soll</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.metadata.key.password</td>
+ <td>123456</td>
+ <td>Passwort des Schl&uuml;ssels der zum Signieren der Metadaten verwendet werden soll.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.authrequest.encryption.key.alias</td>
+ <td>encryption</td>
+ <td>Name des Schl&uuml;ssels der zum Verschl&uuml;sseln der Anmeldeinformation, welche vom IDP an das Konfigurationstool &uuml;bermittelt, verwendet werden soll</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.authrequest.encryption.key.password</td>
+ <td>123456</td>
+ <td>Passwort des Schl&uuml;ssels zum Verschl&uuml;sseln der Anmeldeinformation.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.authrequest.key.alias</td>
+ <td>authrequest</td>
+ <td>Name des Schl&uuml;ssels zum Signieren des Authentifizierungsrequests der an den IDP gestellt wird.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.authrequest.key.password</td>
+ <td>123456</td>
+ <td>Passwort des Schl&uuml;ssels zum Signieren des Authentifizierungsrequests.</td>
+ </tr>
+</table>
+<p>&nbsp;</p>
+<p>Die Metadaten des Modules MOA-ID-Configuration werden dynamisch erstellt und stehen unter folgender URL zum Download bereit.</p>
+<pre>
+http://&lt;host&gt;:&lt;port&gt;/moa-id-oa/servlet/metadata</pre>
+<p>bzw. </p>
+<pre>
+https://&lt;host&gt;:&lt;port&gt;/moa-id-oa/servlet/metadata</pre>
+<p>Nach erfolgreicher Konfiguration muss die Tomcat Instanz neu gestartet werden.</p>
+<h3><a name="DemoApp_pvp21_config_moaidauth" id="allgemeines_zugangspunkte13"></a>3.1.3 Konfiguration von MOA-ID-Auth</h3>
+<p>Bevor ein Anmeldevorgang gestartet werden kann muss die Demo Applikation auch als Online-Applikation f&uuml;r das Modul MOA-ID-Auth konfiguriert werden. Hierf&uuml;r kann das Konfigurationstool (Modul MOA-ID-Configuration) verwendet werden. Tragen Sie die Demo Applikation als Online-Applikation bei Ihrer MOA-ID-Auth Instanz ein. Eine Beschreibung der einzelnen Konfigurationsparameter finden Sie <a href="./../config/config.html#konfigurationsparameter_oa">hier</a>.</p>
+<h3><a name="DemoApp_pvp21_use" id="allgemeines_zugangspunkte12"></a>3.1.4 Anwendung</h3>
+<p>Nach dem Starten von Tomcat steht die Demo Applikation zur Verf&uuml;gung.</p>
+<pre>http://&lt;host&gt;:&lt;port&gt;/moa-id-oa/</pre>
+<p>bzw. </p>
+<pre>
+https://&lt;host&gt;:&lt;port&gt;/moa-id-oa/
+</pre>
+<p>Die Startseite der Demo Applikation beinhaltet einen kurzen Beschreibungstext und den Login Button zum Start des Anmeldevorgangs. F&uuml;r die Integration der B&uuml;rgerkartenumgebung verwendet die Demo die im <a href="#bkuselection_iframe">Kapitel 2.1.1</a> beschriebenen iFrame Variante. Nach Bet&auml;tigung des Login Buttons wird der Anmeldevorgang gestartet. Der Protokollablauf ist identisch zu dem im Kapitel Protokolle beschiebenen Ablauf f&uuml;r das <a href="./../protocol/protocol.html#pvp21_sequenz">PVP 2.1 Protokoll</a>.</p>
+<p>Konnten die Metadaten und der Authentifizierungsrequest erfolgreich verifiziert werden, wird anschlie&szlig;end die B&uuml;rgerkartenauswahl in der Hauptseite der Demo Applikation dargestellt. W&auml;hlen Sie nur die gew&uuml;nschte Authentifizierungsvariante. Danach erfolgt die Authentifizierung mittels der gew&auml;hlten Variante. </p>
+<p>Nach erfolgreicher Authentifizierung werden Sie an die Demo Applikation zur&uuml;ckgeleite. Diese extrahiert einige Basisdaten aus der PVP 2.1 Assertion und stellt diese im Browser dar. Zus&auml;tzlich kann die gesamte &uuml;bertragene PVP 2.1 Assertion angezeigt werden.</p>
+<p>Wurde der Anmeldevorgang durch einen Fehler abgebrochen werden Sie ebenfalls an die Demo Applikation zur&uuml;ckgeleitet. In diesem Fall wird eine kurze Fehlerbeschreibung dargestellt. Eine ausf&uuml;hrliche Fehlerbeschreibung kann der PVP 2.1 Assertion entnommen werden.</p>
+<p>&nbsp;</p>
+</body>
+</html>
diff --git a/id/server/doc/handbook/application/iframe.png b/id/server/doc/handbook/application/iframe.png
new file mode 100644
index 000000000..dcc6a932d
--- /dev/null
+++ b/id/server/doc/handbook/application/iframe.png
Binary files differ
diff --git a/id/server/doc/handbook/application/login_button.PNG b/id/server/doc/handbook/application/login_button.PNG
new file mode 100644
index 000000000..36d8921ce
--- /dev/null
+++ b/id/server/doc/handbook/application/login_button.PNG
Binary files differ
diff --git a/id/server/doc/handbook/application/mainframe.PNG b/id/server/doc/handbook/application/mainframe.PNG
new file mode 100644
index 000000000..0e597d3fc
--- /dev/null
+++ b/id/server/doc/handbook/application/mainframe.PNG
Binary files differ
diff --git a/id/server/doc/handbook/application/sso_sendassertion.PNG b/id/server/doc/handbook/application/sso_sendassertion.PNG
new file mode 100644
index 000000000..1a2ca6a67
--- /dev/null
+++ b/id/server/doc/handbook/application/sso_sendassertion.PNG
Binary files differ