aboutsummaryrefslogtreecommitdiff
path: root/id/server/doc/handbook/protocol
diff options
context:
space:
mode:
authorThomas Lenz <tlenz@iaik.tugraz.at>2014-05-16 12:48:16 +0200
committerThomas Lenz <tlenz@iaik.tugraz.at>2014-05-16 12:48:16 +0200
commit409dfe5bb2ed9eff18d16e384497caf073fac866 (patch)
tree79dd0435e860ff6baa87f43bdb95ebdc104be3a0 /id/server/doc/handbook/protocol
parente0b56bc97ad2e18bd490f007d966c6f6e658cdd1 (diff)
downloadmoa-id-spss-409dfe5bb2ed9eff18d16e384497caf073fac866.tar.gz
moa-id-spss-409dfe5bb2ed9eff18d16e384497caf073fac866.tar.bz2
moa-id-spss-409dfe5bb2ed9eff18d16e384497caf073fac866.zip
update default config and handbook
Diffstat (limited to 'id/server/doc/handbook/protocol')
-rw-r--r--id/server/doc/handbook/protocol/protocol.html379
1 files changed, 370 insertions, 9 deletions
diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html
index 5055a4325..40277aa6b 100644
--- a/id/server/doc/handbook/protocol/protocol.html
+++ b/id/server/doc/handbook/protocol/protocol.html
@@ -23,6 +23,14 @@
<ol>
<li><a href="#allgemeines_zugangspunkte">&Uuml;bersicht der Zugangspunkte</a></li>
<li><a href="#allgemeines_attribute">&Uuml;bersicht der m&ouml;glichen Attribute</a></li>
+ <li><a href="#statuscodes">&Uuml;bersicht der m&ouml;glichen MOA-ID spezifischen Statuscodes</a>
+<ol>
+ <li><a href="#statuscodes_1xxxx">Statuscodes 1xxxx</a></li>
+ <li><a href="#statuscodes_4xxxx">Statuscodes 4xxxx</a></li>
+ <li><a href="#statuscodes_6xxxx">Statuscodes 6xxxx</a></li>
+ <li><a href="#statuscodes_9xxxx">Statuscodes 9xxxx</a></li>
+ </ol>
+ </li>
<li><a href="#allgemeines_sso">Single Sign-On</a></li>
<li><a href="#allgemeines_ssologout">SSO Logout </a></li>
<li><a href="#allgemeines_legacy">Legacy Request (B&uuml;rgerkartenauswahl beim Service Provider)</a></li>
@@ -35,7 +43,7 @@
<li><a href="#pvp21_binding">Zugangspunkte</a>
<ol>
<li><a href="#2.3.1 Authentifizierungsrequest">Authentifizierungsrequest</a></li>
- <li><a href="#pvp21_binding_response">Authentifizierungsrespon</a></li>
+ <li><a href="#pvp21_binding_response">Authentifizierungsresponse</a></li>
</ol>
</li>
</ol>
@@ -50,6 +58,7 @@
<li><a href="#openid_req_authnresp">AuthCode Response</a></li>
<li><a href="#openid_req_tokenreq">AccessToken Request</a></li>
<li><a href="#openid_req_tokenresp">AccessToken Response</a></li>
+ <li><a href="#openid_req_errorresponse">Error Response</a></li>
</ol>
</li>
</ol>
@@ -486,7 +495,328 @@ Redirect Binding</td>
<p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
</tr>
</table>
-<h2><a name="allgemeines_sso" id="allgemeines_zugangspunkte3"></a>1.3 Single Sign-On</h2>
+<h2><a name="statuscodes" id="allgemeines_zugangspunkte6"></a>1.3 &Uuml;bersicht der m&ouml;glichen MOA-ID spezifischen Statuscodes</h2>
+<p>Vom Modul MOA-ID-Auth werden verschiedene Authentifizierungsprotololle wobei diese Protokolle die Fehlerr&uuml;ckgabe unterschiedlich spezifizieren. Zus&auml;tzlich zu den protokolabh&auml;ngigen Statuscodes (<a href="#referenzierte_spezifikation">siehe Spezifikation des jeweiligen Protokolls</a>) werden zus&auml;tzliche protokollunabh&auml;ngige Statuscodes an den Service Provider zur&uuml;ckgeliefert, wobei sich das Format der Fehlerr&uuml;ckgabe jedoch weiterhin protokolspezifisch ist.</p>
+<p>Die nachfolgende Tabelle zeigt alle protokollunabh&auml;ngigen Statuscodes welche vom Modul MOA-ID-Auth zur&uuml;ckgeliefert werden k&ouml;nnen.</p>
+<h3><a name="statuscodes_1xxxx" id="allgemeines_zugangspunkte7"></a>1.3.1 Statuscodes 1xxxx</h3>
+<p>Alle Statuscodes beginnent mit der Zahl eins beschreiben Fehler welche w&auml;hrend des Identifizerungs- und Authentifizierungsvorgangs aufgetreten sind.</p>
+<h4><a name="statuscodes_10xxx" id="allgemeines_zugangspunkte11"></a>1.3.1.1 Authentifizierung (10xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>1000</td>
+ <td>Anmeldung an der angeforderten Online-Applikation wird nicht unterst&uuml;tzt.</td>
+ </tr>
+ <tr>
+ <td>1001</td>
+ <td>Es ist bereits eine Anmeldung im Gange.</td>
+ </tr>
+ <tr>
+ <td>1002</td>
+ <td>Fehlerhafter Parameter</td>
+ </tr>
+ <tr>
+ <td>1003</td>
+ <td>Anfrage nur &uuml;ber https m&ouml;glich</td>
+ </tr>
+ <tr>
+ <td>1004</td>
+ <td>Zertifikat konnte nicht ausgelesen werden</td>
+ </tr>
+ <tr>
+ <td>1005</td>
+ <td>Die Authentifizierung wurde durch den Benutzer abgebrochen</td>
+ </tr>
+ <tr>
+ <td>1006</td>
+ <td>Vollmachtsmodus f&uuml;r nicht-&ouml;ffentlichen Bereich wird nicht unterst&uuml;tzt.</td>
+ </tr>
+ <tr>
+ <td>1007</td>
+ <td>Vollmachtsmodus f&uuml;r ausl&auml;ndische Personen wird nicht unterst&uuml;tzt.</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_11xxx" id="allgemeines_zugangspunkte12"></a>1.3.1.2 Validierung (11xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>1100</td>
+ <td>Ung&uuml;ltige MOA SessionID</td>
+ </tr>
+ <tr>
+ <td>1101</td>
+ <td>Fehler beim Parsen eines Parameters</td>
+ </tr>
+ <tr>
+ <td>1102</td>
+ <td>Fehler beim Validieren der Personenbindung</td>
+ </tr>
+ <tr>
+ <td>1103</td>
+ <td>Signatur ung&uuml;ltig</td>
+ </tr>
+ <tr>
+ <td>1104</td>
+ <td>Zertifikat der Personenbindung ung&uuml;ltig</td>
+ </tr>
+ <tr>
+ <td>1105</td>
+ <td>Zertifikat der Signature ung&uuml;ltig</td>
+ </tr>
+ <tr>
+ <td>1106</td>
+ <td>Fehler beim Validieren des AuthBlocks</td>
+ </tr>
+ <tr>
+ <td>1107</td>
+ <td>Fehler beim Validieren eines SSL-Server-Endzertifikates</td>
+ </tr>
+ <tr>
+ <td>1108</td>
+ <td>Fehler beim Validieren der Online Vollmacht.</td>
+ </tr>
+ <tr>
+ <td>1109</td>
+ <td>Fehler beim validieren der SZR-Gateway Response</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_12xxx" id="allgemeines_zugangspunkte13"></a>1.3.1.3 STORK (12xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>1200</td>
+ <td>Fehler beim erstellen des STORK Authentifizierungsrequests</td>
+ </tr>
+ <tr>
+ <td>1201</td>
+ <td>Fehler beim validieren der STORK Authentifizierungsresponse</td>
+ </tr>
+ <tr>
+ <td>1202</td>
+ <td>STORK Authentifizierungsresponse antwortet mit einem Fehler</td>
+ </tr>
+ <tr>
+ <td>1203</td>
+ <td>Fehler beim Sammeln von STORK Attributen</td>
+ </tr>
+</table>
+<h3><a name="statuscodes_4xxxx" id="allgemeines_zugangspunkte8"></a>1.3.2 Statuscodes 4xxxx</h3>
+<p>Alles Statuscodes beginnent mit der Zahl vier beschreiben Fehler die w&auml;hrend der Kommunikation mit externen Services aufgetreten sind.</p>
+<h4><a name="statuscodes_40xxx" id="allgemeines_zugangspunkte19"></a>1.3.2.1 BKU (40xxxx)</h4>
+<p>Tritt w&auml;hrend des Anmeldevorgangs in der B&uuml;rgerkartenumgebung ein Fehler auf so wird der entsprechende Fehlercode an den Service Provider weitergereicht. Der der durch das Modul MOA-ID-Auth weitergereichte Statuscode f&uuml;r B&uuml;rgerkartenumgebungsfehler wei&szlig;t das folgende zweiteilige Format auf. Der erste Teil, bestehend aus zwei Dezimalstellen, kennzeichnet den Fehler als Fehler als B&uuml;rgerkartenumgebungsfehler. Der zweite Teil, bestehend aus vier Dezimalstellen bezeichnet den eindeutigen Identifikator des Fehers aus der B&uuml;rgerkartenumgebung (<a href="#referenzierte_spezifikation">siehe SecurityLayer Spezifikation</a>). </p>
+<p align="right"><em>{40}{xxxxx}</em></p>
+<blockquote>
+ <p>{40} ... MOA-ID Statuscode f&uuml;r Fehler aus der B&uuml;rgerkartenumgebung</p>
+ <p>{xxxx} .... Fehlercode der B&uuml;rgerkartenumgebung.</p>
+</blockquote>
+<h4><a name="statuscodes_41xxx" id="allgemeines_zugangspunkte20"></a>1.3.2.2 MIS (41xxxx)</h4>
+<p>Tritt w&auml;hrend der Kommunikation mit dem Online-Vollmachten Service oder der Vollmachtsauswahl ein Fehler auf so wird der entsprechende Fehlercode an den Service Provider weitergereicht. Der der durch das Modul MOA-ID-Auth weitergereichte Statuscode f&uuml;r Fehler aus dem Online-Vollmachten Service wei&szlig;t das folgende zweiteilige Format auf. Der erste Teil, bestehend aus drei Dezimalstellen, kennzeichnet den Fehler als Fehler als Online-Vollmachten Service Fehler. Der zweite Teil, bestehend aus drei Dezimalstellen bezeichnet den eindeutigen Identifikator des Fehlers aus dem Online-Vollmachten Service (<a href="#referenzierte_spezifikation">siehe Online-Vollmachten Spezifikation</a>). </p>
+<p><em>{411}{xxxx}</em></p>
+<blockquote>
+ <p>{411} ... MOA-ID Statuscode f&uuml;r Fehler aus dem Online-Vollmachten Service.</p>
+ <p>{xxx} .... Fehlercode des Online-Vollmachten Service.</p>
+</blockquote>
+<p>Zus&auml;tzlich zu den gemappeden Fehlern aus dem Online-Vollmachen Service werden zus&auml;tzliche weitere Fehlercodes definiert.</p>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>41000</td>
+ <td>Das Online-Vollmachten Service ist nicht erreichbar</td>
+ </tr>
+ <tr>
+ <td>41001</td>
+ <td>Allgemeiner Fehler bei der Kommunikation mit dem Online-Vollmachten Service</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_42xxx" id="allgemeines_zugangspunkte21"></a>1.3.2.3 SZR-Gateway (42xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>4200</td>
+ <td>Das SZR-Gateway Service ist nicht erreichbar</td>
+ </tr>
+ <tr>
+ <td>4201</td>
+ <td>Die Antragung in das SZR ist fehlgeschlagen</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_43xxx" id="allgemeines_zugangspunkte22"></a>1.3.2.4 MOA SP/SS(43xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>4300</td>
+ <td>Fehler beim Aufruf von MOA SP/SS</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_44xxx" id="allgemeines_zugangspunkte23"></a>1.3.2.5 Interfederation (44xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>4400</td>
+ <td>Fehler beim generieren der Anmeldedaten</td>
+ </tr>
+</table>
+<h3><a name="statuscodes_6xxxx" id="allgemeines_zugangspunkte9"></a>1.3.3 Statuscodes 6xxxx</h3>
+<p>Alles Statuscodes beginnent mit der Zahl sechs beschreiben protokolspezifische Fehler die nicht durch das jeweilige Authentifizierungsprotokoll abgebildet werden.</p>
+<h4><a name="statuscodes_61xxx" id="allgemeines_zugangspunkte24"></a>1.3.3.1 Allgemein (61xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>6000</td>
+ <td>Das Authentifizierungsprotokoll wurde nicht erkannt oder wird nicht unterst&uuml;zt</td>
+ </tr>
+ <tr>
+ <td>6001</td>
+ <td>Der STORK Request wurde nicht erkannt oder wird nicht unterst&uuml;zt</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_61xxx" id="allgemeines_zugangspunkte16"></a>1.3.3.2 PVP 2.1 (61xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>6100</td>
+ <td>Fehler beim erstellen der PVP 2.1 Response</td>
+ </tr>
+ <tr>
+ <td>6101</td>
+ <td>Fehler beim verschl&uuml;sseln der PVP 2.1 Assertion</td>
+ </tr>
+ <tr>
+ <td>6102</td>
+ <td>Authentifizierung entspricht nicht dem geforderten QAA Level</td>
+ </tr>
+ <tr>
+ <td>6103</td>
+ <td>F&uuml;r die im Requst angegebene EnityID konnten keine g&uuml;ltigen Metadaten gefunden werden</td>
+ </tr>
+ <tr>
+ <td>6104</td>
+ <td>Die Signatur des Requests konnte nicht g&uuml;ltig validiert werden. Entweder ist die Signatur ung&uuml;ltig oder das Signaturzertifikat stimmt nicht mit dem in den Metadaten hinterlegten Zertifikat &uuml;berein.</td>
+ </tr>
+ <tr>
+ <td>6105</td>
+ <td>Der Request konnte nicht g&uuml;ltig validiert werden.</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_62xxx" id="allgemeines_zugangspunkte17"></a>1.3.3.3 OpenID Connect (62xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>6200</td>
+ <td>Fehlerhafte redirect url</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_63xxx" id="allgemeines_zugangspunkte18"></a>1.3.3.4 SAML 1(63xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>6300</td>
+ <td>Fehlerhaftes SAML Artifact Format</td>
+ </tr>
+</table>
+<h3><a name="statuscodes_9xxxx" id="allgemeines_zugangspunkte10"></a>1.3.4 Statuscodes 9xxxx</h3>
+<p>Alles Statuscodes beginnent mit der Zahl neun beschreiben interne Serverfehler.</p>
+<h4><a name="statuscodes_90xxx" id="allgemeines_zugangspunkte14"></a>1.3.4.1 Konfigurationsfehler (90xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>9000</td>
+ <td>Fehlerhaftes BKU-Selection Template</td>
+ </tr>
+ <tr>
+ <td>9001</td>
+ <td>Fehlerhaftes Send-Assertion Template</td>
+ </tr>
+ <tr>
+ <td>9002</td>
+ <td>Fehlerhaftes SecurityLayer Template.</td>
+ </tr>
+ <tr>
+ <td>9003</td>
+ <td>Fehlerhafte STORK VIDP Konfiguration</td>
+ </tr>
+ <tr>
+ <td>9004</td>
+ <td>Fehlerhafte STORK Konfiguration</td>
+ </tr>
+ <tr>
+ <td>9005</td>
+ <td>Fehlerhafte OpenID Connect Konfiguration</td>
+ </tr>
+ <tr>
+ <td>9006</td>
+ <td>Es sind keine Vollmachtsprofile konfiguriert.</td>
+ </tr>
+ <tr>
+ <td>9007</td>
+ <td>Der SZR-Gateway Client konnte nicht initialisiert werden.</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_91xxx" id="allgemeines_zugangspunkte15"></a>1.3.4.2 Interne Fehler (91xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>9100</td>
+ <td>Fehler beim einlesen einer externen Resource.</td>
+ </tr>
+ <tr>
+ <td>9101</td>
+ <td>Datenbankzugriffsfehler</td>
+ </tr>
+ <tr>
+ <td>9102</td>
+ <td>Fehler beim Erzeugen einer internen Datenstruktur</td>
+ </tr>
+ <tr>
+ <td>9103</td>
+ <td>Fehler bei der Verarbeitung eines Templates</td>
+ </tr>
+ <tr>
+ <td>9199</td>
+ <td>Allgemeiner interner Fehler</td>
+ </tr>
+</table>
+<p>&nbsp;</p>
+<h2><a name="allgemeines_sso" id="allgemeines_zugangspunkte3"></a>1.4 Single Sign-On</h2>
<p>Das Modul MOA-ID-Auth unterst&uuml;tzt ab der Version 2.0 Single Sign-On (SSO), wobei diese Funktionalit&auml;t unabh&auml;ngig vom verwendeten Protokoll ist. Bei Verwendung von SSO muss sich der Benutzer nur ein Mal bei MOA-ID-Auth authentifizieren und danach steht die authentifizierte Session f&uuml;r die BenutzerIn oder den Benutzer f&uuml;r weitere Anmeldevorg&auml;nge ohne weitere Authentifizierung mittels B&uuml;rgerkarte, Handy-Signatur oder STORK zur Verf&uuml;gung. Die SSO Session kann danach durch <a href="#allgemeines_ssologout">die BenutzerIn oder den Benutzer beendet</a> werden, oder sie wird von MOA-ID-Auth nach der <a href="./../config/config.html#konfigurationsparameter_allgemein_timeouts">maximal erlaubten Sessionzeit</a> serverseitig beendet. </p>
<p>Das nachfolgende Sequenzdiagramm zeigt eine Anmeldung mittels Single Sign-On an zwei Online-Applikationen unter Verwendung von PVP 2.1. Aus Gr&uuml;nden der &Uuml;bersichtlichkeit wurden die Teile welche die Kommunikation mit der B&uuml;rgerkartenumgebung, die Vollmachten-Auswahl oder den Metadatenaustausch betreffen bewusst nicht ber&uuml;cksichtigt.</p>
<p><img src="sso_sequence.png" width="1095" height="978" alt="Sequenzdiagramm einer Anmeldung mittels Single Sign-On"></p>
@@ -515,7 +845,7 @@ Redirect Binding</td>
<li>Ist die Validierung der Assertion erfolgreich wird die BenutzerIn oder der Benutzer an der Online-Applikation 2 angemeldet</li>
</ol>
<p>Zus&auml;tzliche Informationen zur Konfiguration und die sich daraus ergebenden Anforderungen oder Einschr&auml;nkungen finden sie <a href="./../config/config.html#konfigurationsparameter_allgemein_sso">hier</a>.</p>
-<h2><a name="allgemeines_ssologout" id="allgemeines_zugangspunkte5"></a>1.4 SSO Logout </h2>
+<h2><a name="allgemeines_ssologout" id="allgemeines_zugangspunkte5"></a>1.5 SSO Logout </h2>
<p>Das Modul MOA-ID-Auth stellt ein einfaches Service zur Beendigung einer bestehenden Single Sign-On Session zur Verf&uuml;gung. Nach dem Aufruf dieses Service aus dem Browser des Users wird eine bestehende SSO Session beendet und anschlie&szlig;end wird die BenutzerIn oder der Benutzer an eine im LogOut Request angegebene URL weitergeleitet. </p>
<p>Das SSO Logout Service steht unter folgender URL zur Verf&uuml;gung und ben&ouml;tigt einen http GET Parameter:</p>
<pre>http://&lt;host&gt;:&lt;port&gt;/moa-id-auth/LogOut
@@ -543,7 +873,7 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/LogOut
<pre>https://demo.egiz.gv.at/moa-id-auth/LogOut?redirect=https://demo.egiz.gv.at/demoportal-openID_demo
</pre>
<p><strong>Hinweis:</strong> Dieses Service bietet jedoch NICHT eine vollst&auml;ndige Single Log-Out Funktionalit&auml;t wie sie im SAML 2 Protokoll vorgesehen ist, sondern beendet ausschlie&szlig;lich die SSO Session in der MOA-ID-Auth Instanz.</p>
-<h2><a name="allgemeines_legacy" id="allgemeines_zugangspunkte4"></a>1.5 Legacy Request (B&uuml;rgerkartenauswahl beim Service Provider)</h2>
+<h2><a name="allgemeines_legacy" id="allgemeines_zugangspunkte4"></a>1.6 Legacy Request (B&uuml;rgerkartenauswahl beim Service Provider)</h2>
<p>Soll die B&uuml;rgerkartenauswahl jedoch weiterhin, wie aus MOA-ID 1.5.1 bekannt direkt in der Online-Applikation des Service Providers erfolgen muss f&uuml;r das jeweilige Protokoll der <a href="./../config/config.html#konfigurationsparameter_allgemein_protocol_legacy">Legacy Modus aktiviert</a> werden. Wird der Legacy Modus verwendet muss jedoch zus&auml;tzlich zu den protokollspezifischen Parametern mindestens der Parameter <em>bkuURI</em>, welcher die gew&auml;hlte B&uuml;rgerkartenumgebung enth&auml;lt, im Authentifizierungsrequest an MOA-ID-Auth &uuml;bergeben werden (siehe <a href="#saml1_startauth">Protokoll SAML 1</a>). Die folgenden Parameter stehen bei Verwendung des Legacy Modus unabh&auml;ngig vom verwendeten Protokoll zur Verf&uuml;gung und bilden den gesamten Umfang der B&uuml;rgerkartenauswahl, wie aus MOA-ID 1.5.1 bekannt, ab.</p>
<table border="1" width="1247">
<tbody>
@@ -713,10 +1043,11 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/metadata
<td><p>Dieses Element beinhaltet als Attribut den Status Code des Anmeldevorgangs. Nochfolgend die wichtigsten Statuscodes und eine kurze Beschreibung.</p>
<ul>
<li><em>urn:oasis:names:tc:SAML:2.0:status:Success</em>: Der Anmeldevorgang konnte Erfolgreich durchgef&uuml;hrt werden. </li>
- <li><em>MOA-ID-Auth Fehlercode</em>: W&auml;hrenddes Anmeldevorgangs ist ein Fehler aufgetreten wobei f&uuml;r diesen Fehler in Fehlercode existiert. Zus&auml;tzlich beinhaltet der Wert dieses Elements eine kurze Fehlerbeschreibung.</li>
- <li><em>urn:oasis:names:tc:SAML:2.0:status:Responder</em>: W&auml;hrend des Anmeldevorgangs ist ein Fehler aufgetreten wobei diesem Fehler kein Fehlercode zugeordnet ist (Allgemeiner Fehler). Zus&auml;tzlich beinhaltet der Wert dieses Elements jedoch eine kurze Fehlerbeschreibung.</li>
+ <li><em>urn:oasis:names:tc:SAML:2.0:status:Responder</em>: W&auml;hrend des Anmeldevorgangs ist ein Fehler aufgetreten. Das Element <code>/saml2p:Response/saml2p:Status/saml2p:StatusCode</code><code>/saml2p:StatusCode</code> beinhaltet einen MOA-ID-Auth Fehlercode (siehe <a href="#statuscodes">Kapitel 1.3</a>). Zus&auml;tzlich beinhaltet der Wert dieses Elements jedoch eine kurze Fehlerbeschreibung.</li>
<li><em>urn:oasis:names:tc:SAML:2.0:status:NoPassive</em>: Die BenutzerIn oder der Benutzer ist aktuell keine aktive und g&uuml;ltige Single Sign-On Session mit MOA-ID-Auth. N&auml;here Details zum <em>isPassiv</em> Authentifizierungsrequest finden Sie in der PVP 2.1 oder der SAML2 Spezifikation.</li>
- </ul></td>
+ <li><em>urn:oasis:names:tc:SAML:2.0:status:Requester</em>: Der Authentifizierungsrequest konnte nicht erfolgreich validiert werden.</li>
+ </ul>
+ <p><strong>Hinweis:</strong> Eine vollst&auml;ndige Aufstellung aller m&ouml;gtlichen SAML2 spezifischen Statuscodes fnden Sie in der SAML2 Spezifikation.</p></td>
</tr>
</table>
<table border="1" cellpadding="2" class="fixedWidth">
@@ -1002,6 +1333,31 @@ Folgende Parameter müssen mit dem AuthCode-Request mitgesendet werden, wobei für
XUVrWOLrLl0nx7RkKU8NXNHq-rvKMzqg&quot;
} </pre>
+<h3><a name="openid_req_errorresponse" id="openid_req_errorresponse"></a>3.2.5 Error Response</h3>
+<p>Sollte w&auml;hrend des Authentifizierungsvorgangs ein Fehler auftreten antwortet das Modul MOA-ID-Auth mit einer Error Response. Diese beinhaltet folgende Parameter</p>
+<table width="1247" border="1">
+ <tr>
+ <th width="115" scope="col">Name</th>
+ <th width="262" scope="col">Beispielwert</th>
+ <th width="848" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>error</td>
+ <td>invalid_request_object</td>
+ <td><p>Fehlercode laut OpenID Connect Spezifikation</p></td>
+ </tr>
+ <tr>
+ <td>error_description</td>
+ <td>Der Request ist ung&uuml;ltig</td>
+ <td><p>Kurze textuelle Fehlerbeschreibung</p></td>
+ </tr>
+ <tr>
+ <td>error_uri</td>
+ <td>https://demo.egiz.gv.at/demoportal_moaid-2.0/moa_errorcodes.html#1000</td>
+ <td>URL auf eine Seite mit zus&auml;tzlicher Fehlerbeschreibung</td>
+ </tr>
+</table>
+<p>&nbsp;</p>
<h1><a name="saml1"></a>3 SAML 1</h1>
<p>SAML 1 wird durch MOA-ID-Auth 2.0 auch weiterhin, aus Gr&uuml;nden der Abw&auml;rtskompatibilit&auml;t, als Authentifizierungsprotokoll unterst&uuml;tzt. Es wird jedoch der Umstieg auf ein aktuelles Authentifizierungsprotokoll wie PVP 2.1 oder OpenID Connect empfohlen.</p>
<p>Die nachfolgenden Abschnitte beschreiben den Anmeldevorgang unter Verwendung von SAML1 wobei die Funktionalit&auml;t, wie sie aus MOA-ID &lt;= 1.5.1 bekannt ist, auch weiterhin unterst&uuml;tzt wird (B&uuml;rgerkartenauswahl auf Seiten des Service Provider). Zus&auml;tzlich steht f&uuml;r SAML 1 jedoch auch die Funktionalit&auml;t der automatischen Generierung der B&uuml;rgerkartenauswahl durch das Modul MOA-ID-Auth zur Verf&uuml;gung.</p>
@@ -1116,13 +1472,14 @@ In diesem Redirect werden der Gesch&auml;ftsbereich und ein SAML-Artifact als Pa
<p>Der Service Provider kann anschlie&szlig;end die Assertion, welche die Anmeldedaten oder eine Fehlermeldung beinhaltet, unter Verwendung des SAMLArtifact, am Modul MOA-ID-Auth abholen.</p>
<p>Das MOA-ID-AUTH Web Service wird &uuml;ber einen &lt;samlp:Request&gt; aufgerufen. Der &lt;samlp:Request&gt; enth&auml;lt in einem &lt;samlp:AssertionArtifact&gt; das von MOA-ID-AUTH &uuml;bergebene SAML-Artifact. <br>
<br>
-MOA-ID-AUTH liefert als Antwort einen &lt;samlp:Response&gt;. Die Anmeldedaten sind im &lt;samlp:Response&gt; in Form einer &lt;saml:Assertion&gt; enthalten. </p>
+MOA-ID-AUTH liefert als Antwort einen &lt;samlp:Response&gt;. Die Anmeldedaten sind im &lt;samlp:Response&gt; in Form einer &lt;saml:Assertion&gt; enthalten. <br>
+Sollte w&auml;hrend des Anmeldevorgangs ein Fehler aufgetreten sein, antworted das Modul MOA-ID-Auth mit einer Fehlerbeschreibung in der SAML Response. Das Element <code>/samlp:Response/samlp:Status/samlp:StatusCode</code><code>/</code> beinhaltet auf jeden Fall einen allgemeinen Fehlercode laut SAML1 Spezifikation. Zus&auml;tzlich kann das Element <code>/samlp:Response/samlp:Status/samlp:StatusCode</code><code>/</code><code>samlp:StatusCode</code><code>/</code>einen MOA-ID-Auth Fehlercode (siehe <a href="#statuscodes">Kapitel 1.3</a>) beinhalten. Au&szlig;erdem erfolgt eine kurze textuelle Fehlerbeschreibung im Element <code>/samlp:Response/samlp:Status/</code><code>samlp:StatusMessage/</code>.</p>
<ul>
<li> <a href="file:///D:/Projekte/svn/moa-id/moa-idspss/id/server/doc/cs-sstc-schema-protocol-01.xsd">SAML 1.0 Protocol Schema</a> <br>
</li>
<li> <a href="file:///D:/Projekte/svn/moa-id/moa-idspss/id/server/doc/cs-sstc-schema-assertion-01.xsd">SAML 1.0 Assertion Schema</a></li>
</ul>
-<p>Der detaillierte Aufbau der &lt;saml:Assertion&gt; zu den Anmeldedaten ist in der <a href="file:///D:/Projekte/svn/moa-id/moa-idspss/id/server/doc/MOA_ID_1.4_20070306.pdf">Spezifikation MOA-ID 1.4</a> beschrieben. </p>
+<p>Der detaillierte Aufbau der &lt;saml:Assertion&gt; zu den Anmeldedaten ist in der <a href="./../spec/MOA_ID_1.4_20070802.pdf">Spezifikation MOA-ID 1.4</a> beschrieben.</p>
<h1><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h1>
<table class="fixedWidth" border="1" cellpadding="2">
<tbody>
@@ -1135,6 +1492,10 @@ MOA-ID-AUTH liefert als Antwort einen &lt;samlp:Response&gt;. Die Anmeldedaten
<td><a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/">http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/</a></td>
</tr>
<tr>
+ <td>Online-Vollmachten Spezifikation </td>
+ <td><a href="http://reference.e-government.gv.at/AG-II-Architektur-mis-1-1-0.2890.0.html">http://reference.e-government.gv.at/AG-II-Architektur-mis-1-1-0.2890.0.html</a></td>
+ </tr>
+ <tr>
<td>PVP 2.1 S-Profil Spezifikation</td>
<td><a href="http://reference.e-government.gv.at/uploads/media/PVP2-S-Profil_2_0_0_a-2011-08-31.pdf">http://reference.e-government.gv.at/uploads/media/PVP2-S-Profil_2_0_0_a-2011-08-31.pdf</a></td>
</tr>