diff options
author | Thomas Lenz <thomas.lenz@egiz.gv.at> | 2014-03-04 23:27:21 +0100 |
---|---|---|
committer | Thomas Lenz <thomas.lenz@egiz.gv.at> | 2014-03-04 23:27:21 +0100 |
commit | e1a7da578e195a59f4981bc56a9b8c615f1e69d2 (patch) | |
tree | f77153bf75580e1672a2442020708a872053cc59 /id/server/doc/handbook/protocol/protocol.html | |
parent | 9753d2e1c9fde6778e070825b141e0e69323c9b6 (diff) | |
parent | f5440a189b89bd4aa69d6d54445579484d5d7228 (diff) | |
download | moa-id-spss-e1a7da578e195a59f4981bc56a9b8c615f1e69d2.tar.gz moa-id-spss-e1a7da578e195a59f4981bc56a9b8c615f1e69d2.tar.bz2 moa-id-spss-e1a7da578e195a59f4981bc56a9b8c615f1e69d2.zip |
Merge branch 'moa2_0_tlenz' of https://gitlab.iaik.tugraz.at/afitzek/moa-idspss into moa2_0_tlenz
Conflicts:
id/server/doc/handbook/config/config.html
Diffstat (limited to 'id/server/doc/handbook/protocol/protocol.html')
-rw-r--r-- | id/server/doc/handbook/protocol/protocol.html | 650 |
1 files changed, 640 insertions, 10 deletions
diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html index bd6893af0..f75888f22 100644 --- a/id/server/doc/handbook/protocol/protocol.html +++ b/id/server/doc/handbook/protocol/protocol.html @@ -32,10 +32,447 @@ <p>Dieses Kapitel behandelt jene Authentifizierungsprotokolle die vom Modul MOA-ID-Auth unterstützt werden. Wobei die Verwendung der Protokolle PVP 2.1 oder OpenID Connect empfohlen wird. Das Protokoll SAML 1, welches bis zur MOA-ID Version 1.5.1 verwendet wurde, wird jedoch ab der Version 2.0 nur mehr aus Kompatibilitätsgründen angeboten und nicht mehr aktiv weiterentwickelt.</p> + <h2><a name="allgemeines_zugangspunkte" id="allgemeines_zugangspunkte"></a>1.1 Übersicht der Zugangspunkte</h2> + <p>In diesem Abschnitt sind die Zugangspunkte der vom Modul MOA-ID-Auth unterstützten Protokolle kurz zusammengefasst. Eine detailierte Beschreibung der einzelnen Protokolle finden Sie in den anschließenden Unterkapiteln. </p> + <table width="1247" border="1"> + <tr> + <th width="164" scope="col">Protokoll</th> + <th width="168" scope="col">Requesttyp</th> + <th width="893" scope="col">URL</th> + </tr> + <tr> + <td><a href="#pvp21">PVP 2.1</a></td> + <td>Metadaten</td> + <td>https://<host>:<port>/moa-id-auth/pvp2/metadata</td> + </tr> + <tr> + <td><p><a href="#pvp21">PVP 2.1</a></p></td> + <td>Authentifizierungsrequest <br> + POST Binding</td> + <td>https://<host>:<port>/moa-id-auth/pvp2/post</td> + </tr> + <tr> + <td><p><a href="#pvp21">PVP 2.1</a></p></td> + <td>Authentifizierungsrequest <br> +Redirect Binding</td> + <td>https://<host>:<port>/moa-id-auth/pvp2/redirect</td> + </tr> + <tr> + <td><a href="#openid">OpenID Connect</a></td> + <td>Authentifizierungsrequest <br> + (AuthCode-Request)</td> + <td>https://<host>:<port>/moa-id-auth/oauth2/auth</td> + </tr> + <tr> + <td><a href="#openid">OpenID Connect</a></td> + <td><p>AccessToken-Request</p></td> + <td>https://<host>:<port>/moa-id-auth/oauth2/token</td> + </tr> + <tr> + <td><a href="#saml1">SAML 1</a></td> + <td>Authentifizierungsrequest</td> + <td><p>https://<host>:<port>/moa-id-auth/StartAuthentication</p></td> + </tr> + <tr> + <td><a href="#saml1">SAML 1</a></td> + <td><p>GetAuthenticationData</p></td> + <td><p>https://<host>:<port>/moa-id-auth/services/GetAuthenticationData</p> + <p>http://<host>:<port>/moa-id-auth/services/GetAuthenticationData</p></td> + </tr> + </table> + <h2><a name="allgemeines_attribute" id="allgemeines_zugangspunkte2"></a>1.2 Übersicht der möglichen Attribute</h2> + <p>Die nachfolgende Tabelle beinhaltet eine Liste aller Attribute die vom Modul MOA-ID-Auth an die Online-Applikation zurückgeliefert werden können, sofern diese nach der Authentifizierung zur Verfügung stehen. Alle Namen beziehen sich auf den Attributnamen im jeweiligen Protokoll. Detailinformationen zu den einzelnen Attributen finden Sie in der <a href="#referenzierte_spezifikation">PVP 2.1 Spezifikation</a> der der <a href="#referenzierte_spezifikation">STORK Spezifikation</a>.</p> + <table width="1247" border="1"> + <tr> + <th colspan="4" align="center" valign="middle" scope="col">Protokolle</th> + <th width="518" rowspan="3" scope="col">Beschreibung</th> + </tr> + <tr> + <th width="254" rowspan="2" scope="col">PVP 2.1</th> + <th colspan="2" scope="col">OpenID Connect</th> + <th width="219" rowspan="2" scope="col">SAML 1</th> + </tr> + <tr> + <th width="169" scope="col">Name</th> + <th width="53" scope="col">Profil</th> + </tr> + <tr> + <td>urn:oid:1.2.40.0.10.2.1.1.149</td> + <td>BPK</td> + <td align="center">eID</td> + <td> </td> + <td><p>Bereichsspezifisches Personenkennzeichen (bPK / wbPK)</p> + <p><strong>Hinweis:</strong> Der Syntax für dieses Attribut ist <em>bPK-value := (BEREICH ":" bPK)</em> wobei unter <em>Bereich</em> der öffentliche Bereich (Target) der Online-Applikation oder die Stammzahl des Auftraggebers bei Anwendungs-verantwortlichen aus der Privatwirtschaft angegeben wird.</p></td> + </tr> + <tr> + <td><p>urn:oid:2.5.4.42</p></td> + <td>given_name</td> + <td align="center">profile</td> + <td> </td> + <td>Vorname</td> + </tr> + <tr> + <td><p>urn:oid:1.2.40.0.10.2.1.1.261.20</p></td> + <td>family_name</td> + <td align="center">profile</td> + <td> </td> + <td>Familienname</td> + </tr> + <tr> + <td>urn:oid:1.2.40.0.10.2.1.1.55</td> + <td>birthdate</td> + <td align="center">profile</td> + <td> </td> + <td>Geburtsdatum im Format JJJJ-MM-TT</td> + </tr> + <tr> + <td>urn:oid:1.2.40.0.10.2.1.1.261.64</td> + <td>EID-CCS-URL</td> + <td align="center">eID</td> + <td> </td> + <td>URL auf die Bürgerkartenumgebung die für die Authentifizierung verwendet wurde. Im Falle einer Anmeldung mittels STORK steht dieses Attribut NICHT zur Verfügung.</td> + </tr> + <tr> + <td>urn:oid:1.2.40.0.10.2.1.1.261.94</td> + <td>EID-CITIZEN-QAA-LEVEL</td> + <td align="center">eID</td> + <td> </td> + <td>Authentifizierungslevel des Bürgers</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.32</td> + <td>EID-ISSUING-NATION</td> + <td align="center">eID</td> + <td> </td> + <td>Landescode gem. ISO-3166 ALPHA-2</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.34</td> + <td>EID-SECTOR-FOR-IDENTIFIER</td> + <td align="center">eID</td> + <td> </td> + <td>Bereich für den die bPK / wbPK berechnet wurde.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.62</td> + <td>EID-AUTH-BLOCK</td> + <td align="center">eID</td> + <td> </td> + <td>Base64 kodierte Signatur die während des Authentifizierungsdaten vom Benutzer erzeugt wurde.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.66</td> + <td>EID-SIGNER-CERTIFICATE</td> + <td align="center">eID</td> + <td> </td> + <td>Base64 kodiertes Zertifikat, dass für die Anmeldung verwendet wurde.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.36</td> + <td>EID-SOURCE-PIN</td> + <td align="center">eID_gov</td> + <td> </td> + <td><p>Stammzahl der natürlichen Person</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur zur Verfügung wenn die Online-Applikation alle <a href="../config/config.html#konfigurationsparameter_oa_general_public">Anforderungen an eine Applikation aus dem öffentlichen Bereich</a> erfüllt.</p></td> + </tr> + <tr> + <td height="23">urn:oid: 1.2.40.0.10.2.1.1.261.104</td> + <td>EID-SOURCE-PIN-TYPE</td> + <td align="center">eID_gov</td> + <td> </td> + <td><p>Bereich der Stammzahl, wobei aktuell nur ein Bereich existiert.</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur zur Verfügung wenn die Online-Applikation alle <a href="../config/config.html#konfigurationsparameter_oa_general_public">Anforderungen an eine Applikation aus dem öffentlichen Bereich</a> erfüllt.</p></td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.38</td> + <td>EID-IDENTITY-LINK</td> + <td align="center">eID_gov</td> + <td> </td> + <td><p>Gesamte Personenbindung in BASE64 kodiert.</p> + <p><strong>Hinweis:</strong> Im Falle einer privatwirtschaftlichen Applikation ist die Stammzahl durch die wbPK ersetzt.</p></td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.68</td> + <td>MANDATE-TYPE</td> + <td align="center">mandate</td> + <td> </td> + <td>Bezeichnung des verwendeten Vollmachten-Profils.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.102</td> + <td>MANDATOR-NATURAL-PERSON-SOURCE-PIN-TYPE</td> + <td align="center">mandate</td> + <td> </td> + <td>Bereich der Stammzahl der vertretenen natürlichen Person, wobei aktuell nur ein Bereich existiert.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.70</td> + <td>MANDATOR-NATURAL-PERSON-SOURCE-PIN</td> + <td align="center">mandate</td> + <td> </td> + <td>Stammzahl der natürlichen Person, für die Vollmachts- bzw. Vertretungsbe-fugnisse ausgeübt werden.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.76</td> + <td>MANDATOR-LEGAL-PERSON-SOURCE-PIN-TYPE</td> + <td align="center">mandate</td> + <td> </td> + <td>Gibt an, um welche Art der Stammzahl einer vertretenen juristischen Person es sich handelt.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.100</td> + <td>MANDATOR-LEGAL-PERSON-SOURCE-PIN</td> + <td align="center">mandate</td> + <td> </td> + <td>Stammzahl der juristischen Person, für die Vollmachts- bzw. Vertretungsbe-fugnisse ausgeübt werden.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.98</td> + <td>MANDATOR-NATURAL-PERSON-BPK</td> + <td align="center">mandate</td> + <td> </td> + <td>Bereichsspezifisches Personenkennzeichen des Vollmachtgebers</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.78</td> + <td>MANDATOR-NATURAL-PERSON-GIVEN-NAME</td> + <td align="center">mandate</td> + <td> </td> + <td>Vorname(n) der natürlichen Person, die die Vollmacht erteilt hat, bzw. die vertreten wird.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.80</td> + <td>MANDATOR-NATURAL-PERSON-FAMILY-NAME</td> + <td align="center">mandate</td> + <td> </td> + <td>Nachname der Person, die die Vollmacht erteilt hat, bzw. die vertreten wird.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.82</td> + <td>MANDATOR-NATURAL-PERSON-BIRTHDATE</td> + <td align="center">mandate</td> + <td> </td> + <td>Geburtsdatum der Person, die die Vollmacht erteilt hat, bzw. die vertreten wird im Format JJJJ-MM-TT</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.84</td> + <td>MANDATOR-LEGAL-PERSON-FULL-NAME</td> + <td align="center">mandate</td> + <td> </td> + <td>Name der juristischen Person bzw. Personenmehrheit gemäß zugrundelie-gendem Register.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.86</td> + <td>MANDATE-PROF-REP-OID</td> + <td align="center">mandate</td> + <td> </td> + <td>Object Identifiern (OID) zur Kennzeichnung von berufsmäßigen ParteienvertreterInnen bzw. OrganwalterInnen.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.88</td> + <td>MANDATE-PROF-REP-DESCRIPTION</td> + <td align="center">mandate</td> + <td> </td> + <td>Textuelle Beschreibung der Eigenschaft als berufsmäßiger ParteienvertreterIn.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.90</td> + <td>MANDATE-REFERENCE-VALUE</td> + <td align="center">mandate</td> + <td> </td> + <td>Die im Rahmen einer elektronischen Vollmachtserstellung generierte Transaktionsnummer.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.92</td> + <td>MANDATE-FULL-MANDATE</td> + <td align="center">mandate</td> + <td> </td> + <td>Base64 kodierte Vollmacht im XML Format gemäß Vollmachten-Spezifikation.</td> + </tr> + <tr> + <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.96</td> + <td>EID-STORK-TOKEN</td> + <td align="center">stork</td> + <td> </td> + <td>Beinhaltet die komplette Response Message eines STORK Providers im Base64-Format.</td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + inheritedFamilyName</td> + <td>inheritedFamilyName</td> + <td align="center">stork</td> + <td> </td> + <td><p>Vererbter Familienname</p> + <strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + adoptedFamilyName</td> + <td>adoptedFamilyName</td> + <td align="center">stork</td> + <td> </td> + <td><p>Angenommener Familienname</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + gender</td> + <td>gender</td> + <td align="center">stork</td> + <td> </td> + <td><p>Geschlecht</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + countryCodeOfBirth</td> + <td>countryCodeOfBirth</td> + <td align="center">stork</td> + <td> </td> + <td><p>Geburtsland</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + nationalityCode</td> + <td>nationalityCode</td> + <td align="center">stork</td> + <td> </td> + <td><p>Nationalität</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + maritalStatus</td> + <td>maritalStatus</td> + <td align="center">stork</td> + <td> </td> + <td><p>Familienstand</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + textResidenceAddress</td> + <td>textResidenceAddress</td> + <td align="center">stork</td> + <td> </td> + <td><p>Wohnadresse in Textform</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + canonicalResidenceAddress</td> + <td>canonicalResidenceAddress</td> + <td align="center">stork</td> + <td> </td> + <td><p>Anerkannte Wohnadresse</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + title</td> + <td>title</td> + <td align="center">stork</td> + <td> </td> + <td><p>Titel</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + residencePermit</td> + <td>residencePermit</td> + <td align="center">stork</td> + <td> </td> + <td><p>Aufenthaltsbewilligung</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + pseudonym</td> + <td>pseudonym</td> + <td align="center">stork</td> + <td> </td> + <td><p>Pseudonym</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + age</td> + <td>age</td> + <td align="center">stork</td> + <td> </td> + <td><p>Alter</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + isAgeOver</td> + <td>isAgeOver</td> + <td align="center">stork</td> + <td> </td> + <td><p>Mindestalter erreicht</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + <tr> + <td height="23">http://www.stork.gov.eu/1.0/<br> + fiscalNumber</td> + <td>fiscalNumber</td> + <td align="center">stork</td> + <td> </td> + <td><p>Steuernummer</p> + <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verfügung.</p></td> + </tr> + </table> + <p> </p> <h1><a name="pvp21"></a>2 PVP 2.1</h1> - - +<p>Die PVP 2.1 Implementierung des Modules MOA-ID-Auth bezieht sich auf das <a href="#referenzierte_spezifikation">S-Profil der PVP 2 Spezifikation</a>. Das S - Profil von PVP 2 verwendet SAML WebSSO für die Authentifizierung von Benutzern mit Webbrowser. Dadurch wird die direkte Kommunikation des Browsers mit der Anwendung ermöglicht, was in Anwendungsfällen notwendig ist, wo Anwendungen nicht kompatibel mit dem Reverse - Proxy - Verfahren sind, datenschutzrechtliche Probleme bestehen oder SAML WebSSO als Industriestandard unterstützt werden soll.</p> +<p>Bevor PVP 2.1 als Authentifizierungsprotokoll verwendet werden kann muss das Modul MOA-ID-Auth entsprechend konfiguriert werden. Detailinformationen zur Konfiguration finden Sie <a href="../config/config.html">hier</a>.</p> +<h2><a name="pvp21_sequenz" id="pvp21_sequenz"></a>2.1 Ablauf einer Anmeldung mittels PVP 2.1</h2> +<p>Die nachfolgende Abbildung zeigt das Sequenzdiagramm eines Anmeldevorgangs mittels PVP 2.1 und des Modules MOA-ID-Auth als Identityprovider. Aus Gründen der Übersichtlichkeit wurden die Teile welche die Kommunikation mit der Bürgerkartenumgebung oder die Vollmachten-Auswahl betreffen bewusst nicht berücksichtigt.</p> +<p> </p> +<h2><a name="pvp21_metadata" id="pvp21_metadata"></a>2.2 Metadaten</h2> +<p>Das Modul MOA-ID-Auth stellt für Service-Provider (Online-Applikationen) Metadaten bereit welche alle PVP 2.1 spezifischen Informationen der MOA-ID-Auth Instanz beinhalten. Diese Metadaten werden durch das Modul MOA-ID-Auth signiert, wodurch Service Provider die Authentizität der Metadaten verifizieren können. Ein Beispiel für Metadaten von MOA-ID-Auth finden sie <a href="#idp_metadata.xml">hier</a>. Die aktuellen Metadaten zu Ihrer MOA-ID-Auth Instanz können unter folgender URL abgerufen werden.</p> +<pre>http://<host>:<port>/moa-id-auth/pvp2/metadata +</pre> +<p>bzw. </p> +<pre> +https://<host>:<port>/moa-id-auth/pvp2/metadata +</pre> +<p>Wollen Sie für Ihre Online-Applikation PVP 2.1 als Authentifizierungsprotokoll nutzen müssen für jede Online-Applikation Metadaten erstellt und durch den Service Provider signiert werden. Zusätzlich muss die URL auf die Metadaten und das entsprechende Signaturzertifikat zur Prüfung der Signatur in der online-applikationsspezifischen <a href="../config/config.html#konfigurationsparameter_oa_protocol_pvp21">PVP 2.1 Konfiguration</a> von MOA-ID-Auth hinterlegt sein. Ein Beispiel für online-applikationsspezifische Metadaten finden Sie <a href="serviceprovider_metadata.xml">hier</a>.</p> +<p>Die nachfolgenden Anforderungen an die online-applikationsspezifischen Metadaten .</p> +<ul> + <li>Das XML Attribut <code>entityID</code> im Element <code>md:EntitiesDescriptor/md:EntityDescriptor</code> (siehe <a href="#serviceprovider_metadata.xml">Beispiel</a>) den <a href="../config/config.html#konfigurationsparameter_oa_general">eindeutigen Identifier</a> enthält der für diese Online-Applikation bei MOA-ID-Auth hinterlegt ist. </li> + <li>Die Metadaten müssen ein Zertifikat zur Prüfung der Signatur am Authentifizierungsrequest beinhalten. Hierfür muss das XML Element <code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:KeyDescriptor</code> mit dem Attribut <code>use="signing"</code> vorhanden sein (siehe <a href="#serviceprovider_metadata.xml">Beispiel</a>).</li> + <li>Die Metadaten müssen mindestens ein XML Element<br> +<code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:AssertionConsumerService</code> enthalten welches das gewünschte Binding und die URL zur Auslieferung der Assertion beinhaltet. </li> + <li>Werden zusätzlich zum bereichsspezifischen Personenkennzeichen (bPK / wbPK) weitere <a href="#allgemeines_attribute">Attribute</a> durch den Service Provider benötigt müssen diese über die Metadaten angefordert werden. <br> + Hierfür steht das Element <code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:AttributeConsumingService</code> zur Verfügung wobie die als Kindelemente <code>md:RequestedAttribute </code>die einzelnen benötigten Attribute definieren (siehe <a href="#serviceprovider_metadata.xml">Beispiel</a>).</li> +</ul> +<p>Zusätzlich unterstützt das Modul MOA-ID-Auth auch die Verschlüsselung PVP 2.1 Assertion mit einem vom Service-Provider definierten Zertifikat. Um diese Funktion zu nutzen muss in den Metadaten ein zweites XML Element <code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:KeyDescriptor</code> mit dem Attribut <code>use="encryption"</code> vorhanden sein (siehe <a href="#serviceprovider_metadata.xml">Beispiel</a>). In diesem Fall verwendet das Modul MOA-ID-Auth, dass in diesem Element hinterlegte Zertifikat zur Verschlüsselung der PVP 2.1 Assertion.</p> +<p><strong>Hinweis:</strong> Fehlt im XML Element <code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:KeyDescriptor</code> das Attribut <code>use</code> wird das in diesem Element hinterlegte Zertifikat sowohl zur Prüfung der Signatur des Authentifizierungsrequest als auch zur Verschlüsselung der PVP 2.1 Assertion verwendet.</p> +<h2><a name="pvp21_binding" id="pvp21_binding"></a>2.3 Zugangspunkte</h2> +<p>Für die Kommunikation zwischen Service Provider und dem Modul MOA-ID-Auth stellt MOA-ID-Auth aktuell zwei PVP 2.1 spezifische Zugangspunkte zur Verfügung. Detailinformationen zu den beiden Zugangspunkten (Bindings) entnehmen finden Sie in der <a href="#referenzierte_spezifikation">SAML2 Spezifikation</a>. </p> +<ul> + <li><strong>POST Binding</strong>: In diesem Fall erfolgt die Übertragung mittels http POST. Hierfür stellt MOA-ID-Auth den folgenden Zugangspunkt zur Verfügung.</li> +</ul> +<pre>https://<host>:<port>/moa-id-auth/pvp2/post</pre> +<ul> + <li><strong>Redirect Binding</strong>: In diesem Fall erfolgt die Übertragung mittels eines Redirects wobei die Daten als GET Parameter in der URL enthalten sind. Hierfür stellt MOA-ID-Auth den folgenden Zugangspunkt zur Verfügung.</li> +</ul> +<pre>https://<host>:<port>/moa-id-auth/pvp2/redirect</pre> +<p><strong>Hinweis:</strong> Die Zugangspunkte können auch direkt aus den von MOA-ID-Auth generierten Metadaten entnommen werden.</p> +<h3><a name="pvp21_binding_request" id="pvp21_binding2"></a>2.3.1 Authentifizierungsrequest</h3> +<p>Der Authentifizierungsrequest wird vom Service Provider erstellt und an das Modul MOA-ID-Auth übermittelt. Zur Übertragung, muss je nach verwendetem Binding, einer der beiden <a href="#pvp21_binding">Zugangspunkte</a> und die entsprechende Kodierung der Parameter verwendet werden.</p> +<p>Folgende Minimalanforderungen an den Authentifizierungsrequest müssen erfüllt sein.</p> +<ul> + <li>Der Request muss durch den Service Provider signiert sein (sie <a href="AuthRequest.xml">Beispiel</a>). Die Signatur wird durch das Modul MOA-ID-Auth mit Hilfe des in den <a href="#pvp21_metadata">Metadaten hinterlegten Zertifikats</a> validiert. Schlägt die Signaturprüfung fehl oder ist keine Signatur vorhanden wird der Request abgewiesen und MOA-ID-Auth antwortet mit http Code <em>400</em> und der Fehlermeldung <em>NO valid protocol request received!</em>.</li> + <li>Das der Wert des XML Element <code>saml2p:AuthnRequest/saml2:Issuer</code> muss den <a href="../config/config.html#konfigurationsparameter_oa_general">eindeutigen Identifier</a> enthalten der für diese Online-Applikation bei MOA-ID-Auth hinterlegt ist (sie <a href="AuthRequest.xml">Beispiel</a>).</li> +</ul> +<p>Einen Beispielrequest finden Sie <a href="AuthRequest.xml">hier</a>.</p> +<p><strong>Hinweis:</strong> Detailinformationen finden Sie im Abschnitt <a href="#referenzierte_spezifikation">Spezifikationen</a> in der PVP 2.1 Spezifikation und der SAML2 Spezifikation.</p> +<h3><a name="pvp21_binding_response" id="pvp21_binding3"></a>2.3.2 Authentifizierungsresponse</h3> +<p>Nach erfolgreicher Authentifizierung antwortet das Modul MOA-ID-Auth mit einer PVP 2.1 Assertion. Zur Übertragung der Assertion erfolgt an das in den Metadaten der Online-Applikation angegebene <em>AssertionConsumerService</em> (siehe <a href="#pvp21_metadata">Metadaten</a>). </p> <h1><a name="openid"></a>3 OpenID Connect </h1> <p>OpenID Connect ist ein Authentifizierungsprotkoll welches auf dem OAuth 2.0 Protokoll aufbaut. Dieses Protokoll erlaubt Online-Applikationen die Identifizierung und Authentifizierung von Benutzern, mit Hilfe des Modules MOA-ID-Auth. Der Vorteil von OpenID Connect im Vergleich zu auf SAML basierten Protkollen (PVP 2.1, SAML 1) ist der einfachere Aufbau der einzelnen Protokollnachrichten. Zusätzlich existieren einige frei Verfügbare Bibliotheken für unterschiedliche Programmiersprachen, welche OpenID Connect implementieren.</p> <p>Bevor OpenID Connect in Kombination mit dem Modul MOA-ID-Auth verwendet werden kann muss das Modul MOA-ID-Auth konfiguriert werden. Detailinformationen zur <a href="" >Allgemeinen Konfiguration</a> und zur <a href="">online-applikationsspezifischen Konfiguration</a> finden Sie im jeweiligen Abschnitt des Kapitels Konfiguration. TODO!</p> @@ -44,13 +481,40 @@ <h2><a name="openid_sequenzdiagramm"></a>3.1 Ablauf einer Anmeldung mittels OpenID Connect</h2> <p>Die nachfolgende Abbildung zeigt das Sequenzdiagramm eines Anmeldevorgangs mittels OpenID Connect und des Modules MOA-ID-Auth als Identityprovider. Aus Gründen der Übersichtlichkeit wurden die Teile welche die Kommunikation mit der Bürgerkartenumgebung oder die Vollmachten-Auswahl betreffen bewusst nicht berücksichtigt.</p> -<p>TODO:</p> - +<p><img src="openIDconnect_sequenz.png" width="1138" height="705" alt="Sequenzdiagramm OpenID Connect"></p> +<ol> + <li>Der Benutzer verbindet sich zu einem Web-Portal (Service Provider) über das die Online-Applikation erreichtbar ist. Nach der Betätigung eines Login-Buttons wird der Anmeldevorgang ausgelöst.</li> + <li>Der Service Provider generiert den <a href="#openid_req_authnreq">AuchCode Request</a> und sendet diesen über den Browser an das Modul MOA-ID-Auth.</li> + <li>MOA-ID-Auth validiert den AuthCode Request.</li> + <li>MOA-ID-Auth leitet die BenutzerIn oder den Benutzer zur Bürgerkartenauswahl + <ol> + <li>Die BenutzerIn oder der Benutzer Authentifiziert sich mit der gewählten Methode.</li> + </ol> + </li> + <li>Nach erfolgreicher Authentifizierung erzeugt MOA-ID-Auth die <a href="#openid_req_authnresp">AuthCode Response</a>. +<ol> + <li>Die AuthCode Response wird mittels Redirect an den Service Provider retourniert.</li> + </ol> + </li> + <li>Der Service Provider validiert die AuthCode Response.</li> + <li>Der Service Provider generiert den <a href="#openid_req_tokenreq">AccessToken Request</a> und sendet diesen an MOA-ID-Auth zum Abholen der Benutzerdaten.</li> + <li>MOA-ID-Auth validiert den AccessToken Request</li> + <li>MOA-ID-Auth generiert die <a href="#openid_req_tokenresp">AccessToken Response</a> +<ol> + <li>Retournierung der AccessToken Response an den Service Provider</li> + </ol> + </li> + <li>Validieren der AccessToken Response + <ol> + <li>Wird die Validierung gültig abgeschlossen kann die BenutzerIn oder der Benutzer am Service Provider angemeldet werden.</li> + </ol> + </li> +</ol> <h2><a name="openid_interface"></a>3.2 Zugangspunkte</h2> <p>Zur Verwendung von OpenID Connect stellt das Modul MOA-ID-Auth zwei Zugangspunkte zur Kommunikation mit der Online-Applikation zur Verfügung. Diese Zugangspunkte bezeichnen die URLs unter welchen das Modul MOA-ID-Auth die entsprechenden OpenID Connect Nachrichten entgegennimmt.</p> <ul> -<li><b>AuthCode-Request:</b> https://ihr-moa-server/moa-id-auth/oauth2/auth <br> Unter dieser URL wird der Authn Request entgegengenommen. Dieser Request startet den Authentifizierungsvorgang an der Online-Applikation. Hier finden Sie Detailinformationen zum <a href="#openid_req_authnreq"> Request </a>und zur <a href="#openid_req_authnresp">Response</a>.</li> -<li><b>AccessToken-Request:</b> https://ihr-moa-server/moa-id-auth/oauth2/token <br> Unter dieser URL können nach erfolgreicher Authentifizierung die eigentlichen Authentifizierungsdaten am Modul MOA-ID-Auth abgeholt werden. Hier finden Sie Detailinformationen zum <a href="#openid_req_tokenreq"> Request </a>und zur <a href="#openid_req_tokenresp">Response</a>.</li> +<li><b>AuthCode-Request:</b> <em>https://<host>:<port>/moa-id-auth/oauth2/auth</em><br> Unter dieser URL wird der Authn Request entgegengenommen. Dieser Request startet den Authentifizierungsvorgang an der Online-Applikation. Hier finden Sie Detailinformationen zum <a href="#openid_req_authnreq"> Request </a>und zur <a href="#openid_req_authnresp">Response</a>.</li> +<li><b>AccessToken-Request:</b> <em>https://<host>:<port>/moa-id-auth/oauth2/token</em><br> Unter dieser URL können nach erfolgreicher Authentifizierung die eigentlichen Authentifizierungsdaten am Modul MOA-ID-Auth abgeholt werden. Hier finden Sie Detailinformationen zum <a href="#openid_req_tokenreq"> Request </a>und zur <a href="#openid_req_tokenresp">Response</a>.</li> </ul> <h2><a name="openid_requests"></a>3.3 Beschreibung der Nachrichten</h2> @@ -58,18 +522,184 @@ <h3><a name="openid_req_authnreq"></a>3.2.1 AuthCode Request</h3> <p>Der AuthCode Request ist die Authentifizierungsanfrage einer Online-Applikation für eine BenutzerIn oder einen Benutzer. -Folgende Parameter müssen oder können mit dem AuthCode-Request mitgesendet werden, wobei für die Übertragung der Parameter sowohl http GET als auch http POST verwendet werden kann.</p> - - +Folgende Parameter müssen mit dem AuthCode-Request mitgesendet werden, wobei für die Übertragung der Parameter sowohl http GET als auch http POST verwendet werden kann.</p> +<table width="1247" border="1"> + <tr> + <th width="115" scope="col">Name</th> + <th width="262" scope="col">Beispielwert</th> + <th width="848" scope="col">Beschreibung</th> + </tr> + <tr> + <td>client_id</td> + <td>https://demo.egiz.gv.at/demoportal-openID_demo</td> + <td>Ist der eindeutige Identifikatior für die Online-Applikation. Dieser MUSS mit dem<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Identifikatior aus der Konfiguration</a> identisch sein.</td> + </tr> + <tr> + <td>response_type</td> + <td>code</td> + <td><p>Rückgabewert des AuthCode Requests.</p> + <strong>Hinweis:</strong> Dieser Wert MUSS "code" sein.</td> + </tr> + <tr> + <td>redirect_uri</td> + <td>https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action</td> + <td>Die Callback-URI der Online-Applikation zu welcher die Callbacks der OAuth 2.0 Request gesendet werden. Dieser MUSS mit der<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Redirct URL aus der Konfiguration</a> identisch sein.</td> + </tr> + <tr> + <td>state</td> + <td>1425782214234</td> + <td>Ein von der Online-Applikation generierter Wert welcher in beiden Requests (<a href="#openid_req_authnreq">AuthCode</a> und <a href="#openid_req_tokenreq">Token</a>) gleich sein muss (ein CSRF Token) </td> + </tr> + <tr> + <td>scope</td> + <td>openID profile eID</td> + <td><p>Definiert welche Authentifizierungsinformationen an die Online-Applikation zurückgeliefert werden. </p> + <p>Mögliche Werte sind: <em>openId, profile, eID, eID_gov, mandate, stork</em> wobei die Werte mittels Leerzeichen kombiniert werden können. Der Wert <em>openID</em> muss immer angegeben werden. Der Inhalt der einzelnen Profile, mit Ausnahme des Profiles <em>openID</em>, kann aus der <a href="#allgemeines_attribute">Übersicht der möglichen Attribute</a> entnommen werden. </p> + <ul> + <li>openID: + <ul> + <li>bpk --> Bereichsspezifisches Kennzeichen (bPK / wbPK)</li> + <li>iss --> Public URP Prefix der MOA-ID Instanz</li> + <li>exp --> Zeitliche Gültigkeit</li> + <li>iat --> Ausstellungszeitpunkt</li> + <li>auth_time --> Authentifizierungszeitpunkt</li> + </ul> + </li> + </ul></td> + </tr> +</table> +<p> </p> +<p>Nachfolgend ein Beispiel für einen OpenID Connect Authentifizierungsrequest an das Modul MOA-ID-Auth.</p> +<pre><form method="get" action="https://demo.egiz.gv.at/demoportal_moaid-2.0/oauth2/auth"> + <input type="hidden" value="code" name="response_type"> + <input type="hidden" value="https://demo.egiz.gv.at/demoportal-openID_demo" name="client_id"> + <input type="hidden" value="https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action" name="redirect_uri"> + <input type="hidden" value="profile eID eID_gov mandate" name="scope"> + <input type="hidden" value="1152547590" name="state"> + <input type="submit" value="OpenID Connect login"> +</form></pre> <h3><a name="openid_req_authnresp"></a>3.2.2 AuthCode Response</h3> - +<p>Das Ergebnis des AuthCode Requests wird an die <em>redirect_uri</em> der Online-Applikation gesendet. Die nachfolgenden Parameter werden dabei übergeben.</p> +<table width="1247" border="1"> + <tr> + <th width="115" scope="col">Name</th> + <th width="262" scope="col">Beispielwert</th> + <th width="848" scope="col">Beschreibung</th> + </tr> + <tr> + <td>state</td> + <td>1425782214234</td> + <td>Der von der Online-Applikation generierte und im AuthCode Request übergebene CSRF Token.</td> + </tr> + <tr> + <td>code</td> + <td>4/P7q7W91a-oMsCeLvIaQm6bTrgtp7 </td> + <td><p>Ein vom Modul MOA-ID-Auth generierter Wert, welcher beim Abholen des AccessTokens (AccessToken Request) wieder an MOA-ID-Auth übergeben werden muss.</p></td> + </tr> +</table> +<p> </p> +<p>Nochfolgend ein Beispiel für eine AuthCode Response.</p> +<pre>https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action?state=1425782214234&code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7 </pre> <h3><a name="openid_req_tokenreq"></a>3.2.3 AccessToken Request</h3> +<p>Mit dem AccessToken Request können vom Service Provider der Online-Applikation die Anmeldedaten an der MOA-ID-Auth Instanz abgeholt werden. Für die Abholung müssen folgende Parameter mit dem AccessToken Request an MOA-ID-Auth übertragen werden, wobei für die Übertragung der Parameter sowohl http GET als auch http POST verwendet werden kann.</p> +<table width="1247" border="1"> + <tr> + <th width="115" scope="col">Name</th> + <th width="262" scope="col">Beispielwert</th> + <th width="848" scope="col">Beschreibung</th> + </tr> + <tr> + <td>grant_type</td> + <td>authorization_code</td> + <td>Dieser MUSS den Wert „authorization_code“ besitzen.</td> + </tr> + <tr> + <td>code</td> + <td>4/P7q7W91a-oMsCeLvIaQm6bTrgtp7</td> + <td><p>Dieser Parameter wird in der <a href="#openid_req_authnresp">AuthCode Response</a> an die Online-Applikation (Service Provider) übertragen und muss in diesem Request wieder übermittelt werden.</p></td> + </tr> + <tr> + <td>redirect_uri</td> + <td>https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action</td> + <td>Die Callback-URI der Online-Applikation zu welcher die Callbacks der OAuth 2.0 Request gesendet werden. Dieser MUSS mit der<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Redirct URL aus der Konfiguration</a> identisch sein.</td> + </tr> + <tr> + <td>client_id</td> + <td>https://demo.egiz.gv.at/demoportal-openID_demo</td> + <td>Ist der eindeutige Identifikatior für die Online-Applikation. Dieser MUSS mit dem<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Identifikatior aus der Konfiguration</a> identisch sein.</td> + </tr> + <tr> + <td>client_secret</td> + <td>0adf1ec7-c2a6-4fd3-897c-456d0fb7b5cc</td> + <td>Das Client Password der Online-Applikation. Dieses MUSS mit dem <a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect">Client Password aus der Konfiguration</a> identisch sein.</td> + </tr> +</table> +<p> </p> +<p>Nachfolgend ein Beispiel für einen AccessToken Request</p> +<pre><form method="POST" action="https://demo.egiz.gv.at/demoportal_moaid-2.0/oauth2/token"> + <input type="hidden" value="authorization_code" name="grant_type"> + <input type="hidden" value="https://demo.egiz.gv.at/demoportal-openID_demo" name="client_id"> + <input type="hidden" value="https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action" name="redirect_uri"> + <input type="hidden" value="0adf1ec7-c2a6-4fd3-897c-456d0fb7b5cc" name="client_secret"> + <input type="hidden" value="4/P7q7W91a-oMsCeLvIaQm6bTrgtp7" name="code"> +</form></pre> <h3><a name="openid_req_tokenresp"></a>3.2.4 AccessToken Response</h3> +<p>Die AccessToken Response beinhaltet ein signiertes JSON-Token welches alle angeforderten (Parameter <em>scope</em> im AuthCode Request) und vorhandenen Authentifizierungsdaten beinhaltet. Dieses JSON-Token ist mit einer JSON Web Signatur von MOA-ID-Auth signiert, wobei die Signatur alle angeforderten Daten einschließt. Details zur Konfiguration des Signatur Zertifikats finden Sie <a href="../config/config.html#basisconfig_moa_id_auth_param_protocol_openid">hier</a>. </p> +<table width="1247" border="1"> + <tr> + <th width="115" scope="col">Name</th> + <th width="262" scope="col">Beispielwert</th> + <th width="848" scope="col">Beschreibung</th> + </tr> + <tr> + <td>access_token</td> + <td>SlAV32hkKG</td> + <td><p>Ein AccessToken welches für eine anschließende Kommunikation mit MOA-ID-Auth verwendet werden kann. </p> + <p><strong>Hinweis:</strong> Diese Funktion wird jedoch aktuell nicht unterstützt.</p></td> + </tr> + <tr> + <td>token_type</td> + <td>Bearer</td> + <td><p>OpenID Connect spezifischer Parameter (Details entnehmen Sie bitte der <a href="#referenzierte_spezifikation">OpenID Connect Spezifikation</a>)</p></td> + </tr> + <tr> + <td>expires_in</td> + <td>3600</td> + <td>Gültigkeitszeitraum der Response (TODO)</td> + </tr> + <tr> + <td>scope</td> + <td>openID profile eID</td> + <td>Die im AuthCode Request angeforderten Profile.</td> + </tr> + <tr> + <td>id_token</td> + <td>eyJhbGciOiJSU.....</td> + <td>Dieses Element beinhaltet die eigentlichen Authentifizierungsdaten und ist durch eine JSON Web Signatur signiert.</td> + </tr> +</table> <p> </p> +<p>Nachfolgend ein Beispiel für einen AccessToken Response</p> +<pre>{ + "access_token": "SlAV32hkKG", + "token_type": "Bearer", + "expires_in": 3600, + "scope": "openid eID" + "id_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.ewogImlzc + yI6ICJodHRwOi8vc2VydmVyLmV4YW1wbGUuY29tIiwKICJzdWIiOiAiMjQ4Mjg5 + NzYxMDAxIiwKICJhdWQiOiAiczZCaGRSa3F0MyIsCiAibm9uY2UiOiAibi0wUzZ + fV3pBMk1qIiwKICJleHAiOiAxMzExMjgxOTcwLAogImlhdCI6IDEzMTEyODA5Nz + AKfQ.ggW8hZ1EuVLuxNuuIJKX_V8a_OMXzR0EHR9R6jgdqrOOF4daGU96Sr_P6q + Jp6IcmD3HP99Obi1PRs-cwh3LO-p146waJ8IhehcwL7F09JdijmBqkvPeB2T9CJ + NqeGpe-gccMg4vfKjkM8FcGvnzZUN4_KSP0aAp1tOJ1zZwgjxqGByKHiOtX7Tpd + QyHE5lcMiKPXfEIQILVq0pc_E2DzL7emopWoaoZTF_m0_N0YzFC6g6EJbOEoRoS + K5hoDalrcvRYLSrQAZZKflyuVCyixEoV9GfNQC3_osjzw2PAithfubEEBLuVVk4 + XUVrWOLrLl0nx7RkKU8NXNHq-rvKMzqg" +} </pre> <h1><a name="saml1"></a>3 SAML 1 </h1> |