update handbook, readme, history, example configuration, ...

1 files changed, 193 insertions, 40 deletions

diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index 26925709e..ea9eab017 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -76,7 +76,9 @@
   </ol>
     </li>
   <li>  <a href="#basisconfig_moa_id_auth_param_testing">Testing</a></li>
+  <li><a href="#basisconfig_moa_id_auth_sl20">Security Layer für mobile Authententifizierung</a></li>
   <li><a href="#basisconfig_moa_id_auth_szrclient">SZR Client f&uuml;r STORK &lt;-&gt; PVP Gateway Betrieb</a></li>
+  <li><a href="#basisconfig_moa_id_auth_others">Weitere optionale Konfigurationsparameter</a></li>
 </ol>
 </li>
           </ol>
@@ -118,6 +120,7 @@
               </ol>
             </li>
             <li><a href="#konfigurationsparameter_oa_bku">BKU Konfiguration</a></li>
+            <li><a href="#konfigurationsparameter_oa_sl20">Security Layer für mobile Authententifizierung</a></li>
             <li><a href="#konfigurationsparameter_oa_testcredentials">Test Credentials</a></li>
             <li><a href="#konfigurationsparameter_oa_mandates">Vollmachten</a></li>
             <li><a href="#konfigurationsparameter_oa_szr-gw-service">Zentraler eIDAS Connector</a></li>
@@ -451,32 +454,7 @@ UNIX: moa.id.configuration=file:C:/Programme/apache/tomcat-8.x.x/conf/moa-id/moa
 https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
 <p>Nach einem erfolgreichen Testdurchlauf Antwortet das Monitoring mit einen http Statuscode 200 und der oben definierten Statusmeldung aus dem Parameter <em>configuration.monitoring.message.success</em>. Im Falle eines Fehlers antwortet das Monitoring mit einem http Statuscode 500 und die Statusmeldung enth&auml;lt eine Beschreibung des aufgetretenen Fehlers.</p>
 <h5><a name="basisconfig_moa_id_auth_param_services" id="uebersicht_bekanntmachung5"></a>2.2.2.2 Externe Services</h5>
-<p>F&uuml;r den Aufbau von Verbindungen zu anderen Komponenten werden in manchen F&auml;llen spezielle Client-Zertifikate oder Sicherheitseinstellungen ben&ouml;tigt. In diesem Abschnitt erfolgt die Konfiguration der f&uuml;r den Verbindungsaufbau ben&ouml;tigten Parameter. Die Konfiguration der URL zum jeweiligen Service wird jedoch &uuml;ber die Web-Oberfl&auml;che des Modules MOA-ID-Configuration vorgenommen (siehe <a href="#konfigurationsparameter_allgemein_services">Kapitel 3.1.7</a>).</p>
-<h6><a name="basisconfig_moa_id_auth_param_services_moasp" id="uebersicht_bekanntmachung6"></a>2.2.2.2.1 MOA-SP</h6>
-<p>Wird MOA-SP &uuml;ber ein Web-Service, welches Client Authentifizierung voraussetzt, angesprochen m&uuml;ssen in diesem Abschnitt die erforderlichen Schl&uuml;ssel hinterlegt werden.</p>
-<table class="configtable">
-  <tr>
-    <th>Name</th>
-    <th>Beispielwert</th>
-    <th>Beschreibung</th>
-  </tr>
-  <tr>
-    <td>service.moasp.clientKeyStore</td>
-    <td>keys/moa_sp.p12</td>
-    <td>Dateiname des PKCS#12 Keystores, relativ zur MOA-ID Konfigurationsdatei.                Diesem Keystore wird der private Schl&uuml;ssel f&uuml;r                die TLS-Client-Authentisierung entnommen.</td>
-  </tr>
-  <tr>
-    <td>service.moasp.clientKeyStorePassword</td>
-    <td>pass1234</td>
-    <td>Passwort zum Keystore</td>
-  </tr>
-  <tr>
-    <td>service.moasp.acceptedServerCertificates</td>
-    <td>certs/moa-sp-server/</td>
-    <td>Hier kann ein Verzeichnisname              (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem              die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In              diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser              Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad              zu den im Element &lt;TrustedCACertificates&gt; (siehe <a href="#konfigurationsparameter_allgemein_certvalidation">Kapitel 3.1.4</a>) angegebenen              Zertifikaten erstellt werden kann.</td>
-  </tr>
-</table>
-<p>&nbsp;</p>
+<p>F&uuml;r den Aufbau von Verbindungen zu anderen Komponenten werden in manchen F&auml;llen spezielle Client-Zertifikate oder Sicherheitseinstellungen ben&ouml;tigt. In diesem Abschnitt erfolgt die Konfiguration der f&uuml;r den Verbindungsaufbau ben&ouml;tigten Parameter. Die Konfiguration der URL zum jeweiligen Service wird jedoch &uuml;ber die Web-Oberfl&auml;che des Modules MOA-ID-Configuration vorgenommen (siehe <a href="#konfigurationsparameter_allgemein_services">Kapitel 3.1.7</a>)</p>
 <h6><a name="basisconfig_moa_id_auth_param_services_mandates" id="uebersicht_bekanntmachung7"></a>2.2.2.2.2 Online-Vollmachen</h6>
 <p>MOA-ID-Auth bietet die M&ouml;glichkeit der Nutzung von Online-Vollmachten f&uuml;r Anwendungen aus   dem &ouml;ffentlichen Bereich. Hierf&uuml;r ist ein Online-Vollmachten-Service   n&ouml;tig, wobei die Zugangsdaten zum Online-Vollmachten-Service konfiguriert werden m&uuml;ssen.   Der Zugang zum   Online-Vollmachten-Service ein   Client-Zertifikat f&uuml;r die SSL-Verbindung zum Service.   Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit   Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID-Auth   Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben. </p>
 <table class="configtable">
@@ -650,6 +628,21 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
 <p>&nbsp;</p>
   <h5><a name="basisconfig_moa_id_auth_param_database" id="uebersicht_bekanntmachung3"></a>2.2.2.4 Datenbank  </h5>
 <p>Das Modul MOA-ID-Auth ben&ouml;tigt f&uuml;r den Betrieb zwei (optional drei) separate Datenbank Schema, welche in der Basiskonfiguration konfiguriert werden. F&uuml;r Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Auth kann jedoch auch mit Datenbanken anderer Hersteller oder einer InMemory Datenbank betrieben werden. Hierf&uuml;r wird jedoch auf die <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> verwiesen. </p>
+<table class="configtable">
+  <tr>
+    <th width="21%">Name</th>
+    <th width="11%">Beispielwert</th>
+    <th width="68%">Beschreibung</th>
+  </tr>
+  <tr>
+    <td>configuration.database.byteBasedValues</td>
+    <td><p>true / false</p></td>
+    <td><p>Definiert ob Konfigurationswerte als Text oder als Bytes in der Datenbank abgelegt werden. <br>
+        <strong>Hinweis:</strong> Testbasierte Speicherung kann bei manchen Datenbanksystemen zur problemen f&uuml;hren (z.B. postgreSQL)</p>
+      <p><strong>Defaultwert:</strong> false</p></td>
+  </tr>
+</table>
+<p>&nbsp;</p>
 <h6><a name="basisconfig_moa_id_auth_param_database_conf" id="uebersicht_bekanntmachung12"></a>2.2.2.4.1 Konfiguration</h6>
 <p>Alle Parameter aus der Basiskonfiguration welche als Prefix <em>configuration.hibernate</em>. im Parameternamen aufweisen konfigurieren den Zugriff auf das Datenbank Schema welches die Konfiguration von MOA-ID-Auth beinhaltet. Eine Konfiguration dieser Parameter ist nicht optional.</p>
 <table class="configtable">
@@ -821,7 +814,97 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
       <p><strong>Defaultwert:</strong> true</p></td>
     </tr>
   </table>
-  <h5><a name="basisconfig_moa_id_auth_szrclient" id="uebersicht_bekanntmachung16"></a>2.2.2.6 SZR Client f&uuml;r STORK &lt;-&gt; PVP Gateway Betrieb</h5>
+  <h5><a name="basisconfig_moa_id_auth_sl20" id="uebersicht_bekanntmachung17"></a>2.2.2.6 Security Layer f&uuml;r mobile Authententifizierung</h5>
+<p>Diese Parameter dienen zur Konfiguration der neuen Authentifizierungsschnittstelle via Security-Layer 2.0</p>
+  <table class="configtable">
+    <tr>
+      <th width="23%">Name</th>
+      <th width="15%">Beispielwert</th>
+      <th width="62%">Beschreibung</th>
+    </tr>
+    <tr>
+      <td>modules.sl20.vda.urls.qualeID.endpoint.default</td>
+      <td>https://www.handy-signatur.at/securitylayer2</td>
+      <td>Defaultendpunkt f&uuml;r die Anbindung an einen VDA mittels Security-Layer 2.0</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.vda.urls.qualeID.endpoint.x</td>
+      <td>&nbsp;</td>
+      <td>&Uuml;ber diese Parameter k&ouml;nnen weitere Endpunkte konfiguriert werden, wobei das 'x' im Namen durch einen Identifier ersetzt werden muss (z.B.: modules.sl20.vda.urls.qualeID.endpoint.1=https://test1.a-trust.at/securitylayer2) Die Auwahl des Endpunkts erfolgt via http Header im Request an MOA-ID, wobei der Headername '<em>X-MOA-VDA</em>' lautet und der Headerwert dem Identifier (z.B. '<em>1</em>') entsprechen muss. <br>
+        <strong>Hinweis:</strong> Hiebei handelt es sich prim&auml;r um eine Funktion zu Testzwecken im aktuellen Beta-Status</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.keystore.path</td>
+      <td>keys/sl20.jks</td>
+      <td>Dateiname des Java Keystore welcher die Schl&uuml;ssel zum Signieren und Verschl&uuml;sseln von Security-Layer 2.0 Nachrichten beinhaltet. Des weiteren dient dieser KeyStore als TrustStore zur Validierung von signierten Security-Layer 2.0 Nachrichten. Somit m&uuml;ssen Signaturzertifikate von SL2.0 Teilnehmern in diesem TrustStore hinterlegt sein.</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.keystore.password</td>
+      <td>password</td>
+      <td>Passwort zum Keystore</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.sign.alias</td>
+      <td>signing</td>
+      <td>Name des Schl&uuml;ssels der zur Signierung von SL2.0 Nachrichten</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.sign.password</td>
+      <td>&nbsp;</td>
+      <td>Passwort des Schl&uuml;ssels zur Signierung von SL2.0 Nachrichten</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.encryption.alias</td>
+      <td>encryption</td>
+      <td>Name des Schl&uuml;ssels zur Verschl&uuml;sselung von SL2.0 Nachrichten</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.encryption.password</td>
+      <td>&nbsp;</td>
+      <td>Passwort des Schl&uuml;ssels zur Verschl&uuml;sselung von SL2.0 Nachrichten</td>
+    </tr>
+    <tr>
+      <td>modules.sl20.vda.authblock.id</td>
+      <td>default</td>
+      <td><p>Identifier f&uuml;r den AuthBlock, welcher der Benutzer im Authentifizierungsprozess unterschreiben muss</p>
+      <p><strong>Default:</strong> default</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.vda.authblock.transformation.id</td>
+      <td>SL20Authblock_v1.0,<br>
+      SL20Authblock_v1.0_SIC</td>
+      <td><p>Identifier der erlaubten AuthBlock-Transformationen als CSV f&uuml;r die visuelle Darstellung des AuthBlocks</p>
+      <p><strong>Default:</strong> SL20Authblock_v1.0,SL20Authblock_v1.0_SIC</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.eID.validation.disable</td>
+      <td>true / false</td>
+      <td><p>Deaktivierung der eID Daten validierung.</p>
+      <p><strong>Default:</strong> false</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.eID.signed.result.required</td>
+      <td>true / false</td>
+      <td><p>Aktivierung von verpflichtend signierten Kommandos</p>
+      <p><strong>Default:</strong> true</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.eID.encryption.enabled</td>
+      <td>true / false</td>
+      <td><p>Aktivierung von Verschl&uuml;sselung, wodurch signierte Kommandos Schl&uuml;sselmaterial zur Verschl&uuml;sselung beinhalten.</p>
+      <p><strong>Default:</strong>true</p></td>
+    </tr>
+    <tr>
+      <td>modules.sl20.security.eID.encryption.required</td>
+      <td>true / false</td>
+      <td><p>Aktivierung von verpflichtender Verschl&uuml;sselung. eID Daten m&uuml;ssen durch den VDA verschl&uuml;sselt &uuml;bertragen werden.</p>
+      <p><strong>Default:</strong>true</p></td>
+    </tr>
+  </table>
+  <p>&nbsp;</p>
+  <p>&nbsp;</p>
+  <p>&nbsp;</p>
+  <h5><a name="basisconfig_moa_id_auth_szrclient" id="uebersicht_bekanntmachung16"></a>2.2.2.7 SZR Client f&uuml;r STORK &lt;-&gt; PVP Gateway Betrieb</h5>
   <p>Die Konfiguration des Stammzahlenregister (SZR) Clients ist nur erforderlich wenn das Modul MOA-ID-Auth als STORK &lt;-&gt; PVP Gateway betrieben wird. Da in diesem Fall die Benutzerin oder der Benutzer &uuml;ber ein PVP Stammportal authentifiziert wird ist eine direkte Generierung der STORK eID w&auml;hrend des Anmeldevorgangs nicht m&ouml;glich. Somit erfolgt f&uuml;r diese Personen einen Stammzahlenregisterabfrage zur Bestimmung der STORK eID.</p>
   <p>F&uuml;r den in MOA-ID-Auth verwendeten SZR Client sind folgende Konfigurationsparameter erforderlich.</p>
   <table class="configtable">
@@ -945,7 +1028,47 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
   </table>
   <p>&nbsp;</p>
   <p><strong>Hinweis:</strong> Detaillierte Informationen zu den einzelnen PVP spezifischen Konfigurationsparametern finden Sie in der entsprechenden PVP Spezifikation.</p>
-<h3><a name="uebersicht_logging" id="uebersicht_logging"></a>2.3 Konfiguration des Loggings</h3>
+  <h5><a name="basisconfig_moa_id_auth_others" id="uebersicht_bekanntmachung18"></a>2.2.2.8 Weitere optionale Konfigurationsparameter</h5>
+  <p>Hierbei handelt es sich um weitere optionale Parameter.</p>
+  <table class="configtable">
+    <tr>
+      <th width="26%">Name</th>
+      <th width="18%">Beispielwert</th>
+      <th width="56%">Beschreibung</th>
+    </tr>
+    <tr>
+      <td>configuration.restrictions.sp.entityIds</td>
+      <td><p>https://demo.egiz.gv.at/demologin/</p></td>
+      <td><p>Liste von eindeutigen Online-Applikationsidentifikatioren als  Comma Separatet Values (CSV) f&uuml;r welche die Einschr&auml;nkung auf bestimmte Benutzer aktiviert werden soll. F&uuml;r alle OAs in dieser Liste ist eine Anmeldung nur dann m&ouml;glich wenn die bPK des Benutzers in der Whitelist eingetragen ist.</p>
+        <p>&nbsp;</p></td>
+    </tr>
+    <tr>
+      <td>configuration.restrictions.sp.users.url</td>
+      <td>whitelist/users.csv</td>
+      <td><p>Whitelist von bPKs als  Comma Separatet Values (CSV) f&uuml;r welche eine Anmeldung erlaubt ist.</p>
+        <p>z.B.: ZP:xm1zT43arrfTRLnDsxYoFk3XwDU=,ZP:gr99V4hH5KLlarBCcCAbKJNMF18=</p></td>
+    </tr>
+    <tr>
+      <td>configuration.restrictions.sp.users.sector</td>
+      <td>urn:publicid:gv.at:cdid+ZP</td>
+      <td>bPK Berecih welcher in der Whitelist verwendet wird</td>
+    </tr>
+    <tr>
+      <td>configuration.foreignsectors.pubkey.xxxxTargetxxx</td>
+      <td>configuration.foreignsectors.pubkey.wbpk+FN+468924i=<br>
+        MIIDCzCCAfMCBFr9aB4wDQYJKoZI....</td>
+      <td><p>MOA-ID bietet die M&ouml;glichkeit verschl&uuml;sselte bPKs entsprechend der Berechnungsvorschrift f&uuml;r Fremd-bPKs zu generieren. Die hierf&uuml;r ben&ouml;tigen &ouml;ffentlichen Schl&uuml;ssel m&uuml;ssen als Base64 kodierte X509 Zertifikate je bPK / wbPK Bereich hinterlegt werden.<br>
+      Der bPK / wbPK Bereich muss als Teil des Konfigurationsschl&uuml;ssels (z.B. wbpk+FN+468924i, BMI+T1, ...) angegeben werden.</p>
+        <ul>
+          <li>F&uuml;r &ouml;ffentliche Bereiche: VKZ+Target (VKZ ... Verfahrenskennzeichen)</li>
+          <li>F&uuml;r private Bereiche: wbpk+Stammzahl der juristischen Person (z.B. FN+468924i)</li>
+        </ul>
+        <p>          <br>
+      </p></td>
+    </tr>
+  </table>
+  <p>&nbsp;</p>
+  <h3><a name="uebersicht_logging" id="uebersicht_logging"></a>2.3 Konfiguration des Loggings</h3>
   <p>Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework f&uuml;r Logging-Information die Open Source Software <code>log4j</code>. Die Konfiguration der Logging-Information erfolgt  nicht direkt durch die einzelnen Module, sondern &uuml;ber eine eigene Konfigurationsdatei, die der <span class="term">Java Virtual Machine</span> durch eine <span class="term">System Property </span>  mitgeteilt wird. Der Name der <span class="term">System Property </span>  lautet <code>log4j.configuration</code>; als Wert der <span class="term">System Property </span>  ist eine URL anzugeben, die auf die <code>log4j</code>-Konfigurationsdatei verweist, z.B.  </p>
 <pre>log4j.configuration=file:/C:/Programme/apache/tomcat-8.x.x/conf/moa-id/log4j.properties</pre>
   <p>Zust&auml;tzlich wird f&uuml;r einige Basiskomponenten, welche &uuml;ber Drittherstellerbibliotheken inkludiert sind, LogBack als Logging Framework verwendet. Die LogBack Konfiguration wird ebenfalls &uuml;ber den System Property angegeben</p>
@@ -1484,7 +1607,37 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <td>&Uuml;ber diese Funktion k&ouml;nnen drei zus&auml;tzliche SecurtityLayer-Request Templates f&uuml;r diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zus&auml;tzliche WhiteList f&uuml;r Templates welche im &bdquo;StartAuthentication&ldquo; Request mit dem Parameter &bdquo;template&ldquo; &uuml;bergeben werden. Sollte im &bdquo;StartAuthentication&ldquo; Request der Parameter &bdquo;template&ldquo; fehlen, es wurde jedoch eine &bdquo;bkuURL&ldquo; &uuml;bergeben, dann wird f&uuml;r den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Request</a> finden Sie im Kapitel Protokolle.</td>
   </tr>
 </table>
-<h4><a name="konfigurationsparameter_oa_testcredentials" id="uebersicht_zentraledatei_aktualisierung10"></a> 3.2.3 Test Identit&auml;ten</h4>
+<h4><a name="konfigurationsparameter_oa_sl20" id="uebersicht_zentraledatei_aktualisierung31"></a> 3.2.3 Security Layer f&uuml;r mobile Authententifizierung</h4>
+<p>Mit diesem Abschnitt kann der neue Security Layer f&uuml;r mobile Authentifzierung f&uuml;r diese Online Applikation aktiviert werden.<br>
+  Wird diese Schnittstelle aktiviert ist die Security-Layer 1.x Schnittstelle zur B&uuml;rgerkartenkommunikation deaktiviert und steht nicht mehr zur Verf&uuml;gung.</p>
+<table class="configtable">
+  <tr>
+    <th width="13%">Name</th>
+    <th width="27%">Beispielwert</th>
+    <th width="5%">Admin</th>
+    <th width="6%">Optional</th>
+    <th width="49%">Beschreibung</th>
+  </tr>
+  <tr>
+    <td><p><span id="wwlbl_loadOA_authOA_sl20Active">SL2.0 aktiviere</span>n</p></td>
+    <td>true / false</td>
+    <td align="center">X</td>
+    <td align="center">X</td>
+    <td>Aktiviert den neuen Security Layer f&uuml;r mobile Authentifizierung f&uuml;r diese Online Applikation</td>
+  </tr>
+  <tr>
+    <td><p><span id="wwlbl_loadOA_authOA_sl20EndPoints">VDA Endpunkt URLs:</span></p></td>
+    <td><p>default=https://www.handy-signatur.at/securitylayer2,</p>
+      <p>1=https://test1.a-trust.at/securitylayer2,</p>
+<p>2=https://hs-abnahme.a-trust.at/securitylayer2</p></td>
+    <td align="center">X</td>
+    <td align="center">X</td>
+    <td>Eine CSV Liste von VDA Endpunkten, welche f&uuml;r die Online Applikation verwendet werden k&ouml;nnen. Die Konfiguration erfolgt entsprechend den in <a href="#basisconfig_moa_id_auth_sl20">Kapitel 2.2.2.6</a> beschriebenen Regeln.<br>
+      Sind keine Parameter angegeben wird automatisch die Konfiguration aus <a href="#basisconfig_moa_id_auth_sl20">Kapitel 2.2.2.6</a> verwendet. </td>
+  </tr>
+</table>
+<p>&nbsp;</p>
+<h4><a name="konfigurationsparameter_oa_testcredentials" id="uebersicht_zentraledatei_aktualisierung10"></a> 3.2.4 Test Identit&auml;ten</h4>
 <p>In diesem Abschnitt k&ouml;nnen f&uuml;r diese Online-Applikation Testidentit&auml;ten erlaubt werden. Diese Testidentit&auml;ten k&ouml;nnen auch bei produktiven Instanzen freigeschalten werden, da die Unterschiedung zwischen Produkt- und Testidentit&auml;t anhand einer speziellen OID im Signaturzertifikat der Testidentit&auml;t getroffen wird. Folgende Konfigurationsparameter stehen hierf&uuml;r zur Verf&uuml;gung.</p>
 <table class="configtable">
   <tr>
@@ -1526,7 +1679,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Diese Funktionalit&auml;t steht jedoch nur Testidentit&auml;ten welchen bereits mit einer Test OID im Signaturzertifikat ausgestattet sind zur Verf&uuml;gung.</p>
-<h4><a name="konfigurationsparameter_oa_mandates" id="uebersicht_zentraledatei_aktualisierung21"></a>3.2.4 Vollmachten</h4>
+<h4><a name="konfigurationsparameter_oa_mandates" id="uebersicht_zentraledatei_aktualisierung21"></a>3.2.5 Vollmachten</h4>
 <p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zur Anmeldung mittels Online-Vollmachen.</p>
 <table class="configtable">
   <tr>
@@ -1576,7 +1729,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Werden f&uuml;r die Online-Applikation eigene Templates f&uuml;r die B&uuml;rgerkartenauswahl oder die zus&auml;tzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verf&uuml;gung. Die Funktionalit&auml;t der entsprechenden Parameter hat jedoch weiterhin Einfluss auf den Anmeldevorgang.</p>
-<h4><a name="konfigurationsparameter_oa_szr-gw-service" id="uebersicht_zentraledatei_aktualisierung12"></a>3.2.5 Zentraler nationaler eIDAS Connector</h4>
+<h4><a name="konfigurationsparameter_oa_szr-gw-service" id="uebersicht_zentraledatei_aktualisierung12"></a>3.2.6 Zentraler nationaler eIDAS Connector</h4>
 <p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zum Ankn&uuml;pfung an den zentralen nationalen eIDAS Connector</p>
 <table class="configtable">
   <tr>
@@ -1596,7 +1749,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
   </tr>
 </table>
 <p>&nbsp;</p>
-<h4><a name="konfigurationsparameter_oa_sso" id="uebersicht_zentraledatei_aktualisierung22"></a>3.2.6 Single Sign-On (SSO)</h4>
+<h4><a name="konfigurationsparameter_oa_sso" id="uebersicht_zentraledatei_aktualisierung22"></a>3.2.7 Single Sign-On (SSO)</h4>
 <p>Dieser Abschnitt  behandelt online-applikationsspezifische Einstellungen zu Single Sign-On</p>
 <table class="configtable">
   <tr>
@@ -1623,7 +1776,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <p><strong>Hinweis:</strong> Diese Abfrage ist standardm&auml;&szlig;ig aktiviert und kann nur durch einen Benutzer mit der Role <em>admin</em> deaktiviert werden.</p></td>
   </tr>
 </table>
-<h4><a name="konfigurationsparameter_oa_stork" id="uebersicht_zentraledatei_aktualisierung23"></a>3.2.7 Authentifizierung mittels eIDAS</h4>
+<h4><a name="konfigurationsparameter_oa_stork" id="uebersicht_zentraledatei_aktualisierung23"></a>3.2.8 Authentifizierung mittels eIDAS</h4>
 <p>Dieser Abschnitt  behandelt Online-Applikationsspezifische Einstellungen zur Authentifizierung mittels eIDAS.</p>
 <table class="configtable">
   <tr>
@@ -1647,10 +1800,10 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Werden f&uuml;r die Online-Applikation eigene Templates f&uuml;r die B&uuml;rgerkartenauswahl oder die zus&auml;tzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verf&uuml;gung.</p>
-<h4><a name="konfigurationsparameter_oa_protocol" id="uebersicht_zentraledatei_aktualisierung24"></a>3.2.8 Authentifizierungsprotokolle</h4>
+<h4><a name="konfigurationsparameter_oa_protocol" id="uebersicht_zentraledatei_aktualisierung24"></a>3.2.9 Authentifizierungsprotokolle</h4>
 <p>Dieser Abschnitt  behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterst&uuml;tzen Authentifizierungsprotokollen. Eine Verwendung aller zur Verf&uuml;gung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls m&ouml;glich. Hierf&uuml;r m&uuml;ssen nur alle ben&ouml;tigten Protokolle konfiguriert werden. N&auml;here Informationen zu den unterst&uuml;tzten Protokollen finden sie im Kapitel <a href="./../protocol/protocol.html">Protokolle</a>.</p>
 <p>Aus Gr&uuml;nden der &Uuml;bersichtlichkeit kann der Konfigurationsbereich f&uuml;r jeden Protokoll, in der Web-Oberfl&auml;che des Konfigurationstools, ein- oder ausgeblendet werden.</p>
-<h5><a name="konfigurationsparameter_oa_protocol_saml1" id="uebersicht_zentraledatei_aktualisierung25"></a>3.2.8.1 SAML1</h5>
+<h5><a name="konfigurationsparameter_oa_protocol_saml1" id="uebersicht_zentraledatei_aktualisierung25"></a>3.2.9.1 SAML1</h5>
 <p>F&uuml;r das Protokoll SAML1 stehen folgende Konfigurationsparameter zur Verf&uuml;gung.</p>
 <table class="configtable">
   <tr>
@@ -1705,7 +1858,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
 </table>
 <p>&nbsp;</p>
 <p><strong>Hinweis: </strong>Das Modul MOA-ID-Auth in der Version 2.0 unterst&uuml;tzt SAML1 nur mehr zur Abw&auml;rtskompatibilit&auml;t mit bereits bestehenden Online-Applikationen. Wir empfehlen den Umstieg auf ein anderes, von MOA-ID-Auth unterst&uuml;tztes, Authentifizierungsprotokoll. Aus diesem Grund steht die Konfiguration des SAML1 Protokolls nur mehr einer Benutzerin oder einem Benutzer mit der Role <em>admin</em> zur Verf&uuml;gung.</p>
-<h5><a name="konfigurationsparameter_oa_protocol_pvp21" id="uebersicht_zentraledatei_aktualisierung26"></a>3.2.8.2 PVP 2.1</h5>
+<h5><a name="konfigurationsparameter_oa_protocol_pvp21" id="uebersicht_zentraledatei_aktualisierung26"></a>3.2.9.2 PVP 2.1</h5>
 <p>In diesem Bereich erfolgt die applikationsspezifische Konfiguration f&uuml;r das Authentifizierungsprotokoll PVP 2.1.</p>
 <table class="configtable">
   <tr>
@@ -1746,7 +1899,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <td>Pfad zum online-applikationsspezifischen Template f&uuml;r SAML2 (PVP2 S-Profil) http POST-Binding. Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die MOA-ID-Auth Basiskonfigurationsdatei befindet, interpretiert. Das Template kann ausschlie&szlig;lich aus dem Dateisystem geladen werden.</td>
   </tr>
 </table>
-<h5><a name="konfigurationsparameter_oa_protocol_openIDConnect" id="uebersicht_zentraledatei_aktualisierung27"></a>3.2.8.3 OpenID Connect</h5>
+<h5><a name="konfigurationsparameter_oa_protocol_openIDConnect" id="uebersicht_zentraledatei_aktualisierung27"></a>3.2.9.3 OpenID Connect</h5>
 <p>In diesem Bereich erfolgt die applikationsspezifische Konfiguration f&uuml;r OpenID Connect (OAuth 2.0). </p>
 <table class="configtable">
   <tr>
@@ -1778,7 +1931,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID  1.5.1 im Kontext der
     <td>OpenID Connect Redirect URL. Nach erfolgreicher  Authentifizierung wird die Benutzerin oder der Benutzer an diese URL zur&uuml;ckgeleitet.</td>
   </tr>
 </table>
-<h5><a name="konfigurationsparameter_oa_additional" id="uebersicht_zentraledatei_aktualisierung28"></a>3.2.9 Zus&auml;tzliche allgemeine Einstellungen</h5>
+<h5><a name="konfigurationsparameter_oa_additional" id="uebersicht_zentraledatei_aktualisierung28"></a>3.2.10 Zus&auml;tzliche allgemeine Einstellungen</h5>
 <p>In Abschnitt erm&ouml;glicht eine erweiterte online-applikationsspezifische Individualisierung des AuthBlocks und der B&uuml;rgerkartenauswahl. 
   Die Individualisierung des AuthBlocks steht jedoch dann zur Verf&uuml;gung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation verwendet wird oder 
 wenn die individuelle Security-Layer Transformation den Formvorschriften  der Spezifikation entspricht.</p>
@@ -1836,7 +1989,7 @@ wenn die individuelle Security-Layer Transformation den Formvorschriften  der Sp
 </table>
 <h5>&nbsp;</h5>
 <h5>&nbsp;</h5>
-<h5><a name="konfigurationsparameter_oa_additional_formular" id="uebersicht_zentraledatei_aktualisierung29"></a>3.2.9.1 Login-Fenster Konfiguration</h5>
+<h5><a name="konfigurationsparameter_oa_additional_formular" id="uebersicht_zentraledatei_aktualisierung29"></a>3.2.10.1 Login-Fenster Konfiguration</h5>
 <p>Diese Konfigurationsparameter  bieten zus&auml;tzliche Einstellungen f&uuml;r eine Anpassung der B&uuml;rgerkartenauswahl welche von MOA-ID-Auth generiert wird.
 Zur besseren Handhabung werden die angegebenen Parameter direkt in einer Vorschau dargestellt.  
 Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Bedarf durch Standardwerte erg&auml;nzt. 
@@ -1925,7 +2078,7 @@ Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Beda
 <p>&nbsp;</p>
 <p><strong>Hinweis:</strong> Bei Verwendung einer online-applikationsspezifischen B&uuml;rgerkartenauswahl stehen alle Parameter die die B&uuml;rgerkartenauswahl betreffen nicht zur Verf&uuml;gung.</p>
 <p><strong>Hinweis:</strong> Bei Verwendung eines online-applikationsspezifischen Security-Layer-Request Templates stehen alle Parameter die das SL-Template betreffen nicht zur Verf&uuml;gung.</p>
-<h5><a name="service_revisionslogging" id="uebersicht_zentraledatei_aktualisierung11"></a>3.2.10 Revisionslogging</h5>
+<h5><a name="service_revisionslogging" id="uebersicht_zentraledatei_aktualisierung11"></a>3.2.11 Revisionslogging</h5>
 <p>Ab MOA-ID 3.x steht ein erweitertes speziell f&uuml;r Revisionsaufgaben abgestimmtest Logging zur Verf&uuml;gung. &Uuml;ber dieses Feld k&ouml;nnen die zu loggenden Events als CSV codierte Eventcodes konfiguriert werden. Werden keine Eventcodes konfiguriert wird eine in MOA-ID hinterlegte Defaultkonfiguration verwendet. Eine Liste aller m&ouml;glichen Eventcodes finden Sie <a href="../additional/additional.html#revisionslog">hier</a>.</p>
 <h3><a name="import_export" id="uebersicht_zentraledatei_aktualisierung4"></a>3.3 Import / Export</h3>
 <p>&Uuml;er diese Funktionalit&auml;t besteht die M&ouml;glichkeit eine bestehende MOA-ID 2.x.x