- <td>Base64 kodierte Signatur die w&auml;hrend des Authentifizierungsdaten vom Benutzer erzeugt wurde.</td>

- <td>Stammzahl der nat&uuml;rlichen Person, f&uuml;r die Vollmachts- bzw. Vertretungsbe-fugnisse ausge&uuml;bt werden.</td>

- <td>Name der juristischen Person bzw. Personenmehrheit gem&auml;&szlig; zugrundelie-gendem Register.</td>

-<p>Vom Modul MOA-ID-Auth werden verschiedene Authentifizierungsprotololle wobei diese Protokolle die Fehlerr&uuml;ckgabe unterschiedlich spezifizieren. Zus&auml;tzlich zu den protokolabh&auml;ngigen Statuscodes (<a href="#referenzierte_spezifikation">siehe Spezifikation des jeweiligen Protokolls</a>) werden zus&auml;tzliche protokollunabh&auml;ngige Statuscodes an den Service Provider zur&uuml;ckgeliefert, wobei sich das Format der Fehlerr&uuml;ckgabe jedoch weiterhin protokolspezifisch ist.</p>

-<p>Alle Statuscodes beginnent mit der Zahl eins beschreiben Fehler welche w&auml;hrend des Identifizerungs- und Authentifizierungsvorgangs aufgetreten sind.</p>

- <td>Zertifikat der Signature ung&uuml;ltig</td>

- <td>Fehler beim validieren der SZR-Gateway Response</td>

- <td>Fehler beim erstellen des STORK Authentifizierungsrequests</td>

- <td>Fehler beim validieren der STORK Authentifizierungsresponse</td>

-<p>Alles Statuscodes beginnent mit der Zahl vier beschreiben Fehler die w&auml;hrend der Kommunikation mit externen Services aufgetreten sind.</p>

-<p>Tritt w&auml;hrend des Anmeldevorgangs in der B&uuml;rgerkartenumgebung ein Fehler auf so wird der entsprechende Fehlercode an den Service Provider weitergereicht. Der der durch das Modul MOA-ID-Auth weitergereichte Statuscode f&uuml;r B&uuml;rgerkartenumgebungsfehler wei&szlig;t das folgende zweiteilige Format auf. Der erste Teil, bestehend aus zwei Dezimalstellen, kennzeichnet den Fehler als Fehler als B&uuml;rgerkartenumgebungsfehler. Der zweite Teil, bestehend aus vier Dezimalstellen bezeichnet den eindeutigen Identifikator des Fehers aus der B&uuml;rgerkartenumgebung (<a href="#referenzierte_spezifikation">siehe SecurityLayer Spezifikation</a>). </p>

-<p>Zus&auml;tzlich zu den gemappeden Fehlern aus dem Online-Vollmachen Service werden zus&auml;tzliche weitere Fehlercodes definiert.</p>

- <td>Fehler beim generieren der Anmeldedaten</td>

-<p>Alles Statuscodes beginnent mit der Zahl sechs beschreiben protokolspezifische Fehler die nicht durch das jeweilige Authentifizierungsprotokoll abgebildet werden.</p>

- <td>Das Authentifizierungsprotokoll wurde nicht erkannt oder wird nicht unterst&uuml;zt</td>

- <td>Der STORK Request wurde nicht erkannt oder wird nicht unterst&uuml;zt</td>

- <td>Fehler beim erstellen der PVP 2.1 Response</td>

- <td>Fehler beim verschl&uuml;sseln der PVP 2.1 Assertion</td>

- <td>F&uuml;r die im Requst angegebene EnityID konnten keine g&uuml;ltigen Metadaten gefunden werden</td>

-<p>Alles Statuscodes beginnent mit der Zahl neun beschreiben interne Serverfehler.</p>

- <td>Fehler beim einlesen einer externen Resource.</td>

-<p>Das Modul MOA-ID-Auth unterst&uuml;tzt ab der Version 2.0 Single Sign-On (SSO), wobei diese Funktionalit&auml;t unabh&auml;ngig vom verwendeten Protokoll ist. Bei Verwendung von SSO muss sich der Benutzer nur ein Mal bei MOA-ID-Auth authentifizieren und danach steht die authentifizierte Session f&uuml;r die BenutzerIn oder den Benutzer f&uuml;r weitere Anmeldevorg&auml;nge ohne weitere Authentifizierung mittels B&uuml;rgerkarte, Handy-Signatur oder STORK zur Verf&uuml;gung. Die SSO Session kann danach durch <a href="#allgemeines_ssologout">die BenutzerIn oder den Benutzer beendet</a> werden, oder sie wird von MOA-ID-Auth nach der <a href="./../config/config.html#konfigurationsparameter_allgemein_timeouts">maximal erlaubten Sessionzeit</a> serverseitig beendet. </p>

- <li>Die BenutzerIn oder der Benutzer verbindet sich zu einem Web-Portal (Service Provider 1) &uuml;ber das die Online-Applikation 1 erreichbar ist. Nach der Bet&auml;tigung eines Login-Buttons wird der Anmeldevorgang ausgel&ouml;st.</li>

- <li>MOA-ID-Auth leitet die BenutzerIn oder den Benutzer zur B&uuml;rgerkartenauswahl.

- <li>Die BenutzerIn oder der Benutzer Authentifiziert sich mit der gew&auml;hlten Methode.</li>

- <li>War die Authentifizierung der BenutzerIn oder des Benutzers erfolgreich generiert MOA-ID-Auth die Assertion mit den Anmeldedaten des Benutzers f&uuml;r die Online-Applikation 1.</li>

- <li>Ist die Validierung der Assertion erfolgreich wird die BenutzerIn oder der Benutzer an der Online-Applikation 1 angemeldet. </li>

- <li>Die BenutzerIn oder der Benutzer verbindet sich zu einem weiteren Web-Portal (Service Provider 2) &uuml;ber das die Online-Applikation 2 erreichbar ist. Nach der Bet&auml;tigung eines Login-Buttons wird der Anmeldevorgang f&uuml;r die Online-Applikation 2 ausgel&ouml;st.</li>

- <li>MOA-ID-Auth validiert das SSO Token. Hierbei wird gepr&uuml;ft ob das Token zu einer aktiven SSO Session geh&ouml;rt und ob das Token bereits verwendet wurde. Jedes vergebene SSO Token ist nur f&uuml;r einen weiteren Anmeldevorgang g&uuml;ltig und wird anschlie&szlig;end durch ein neues ersetzt. Ist das Token abgelaufen oder wurde es bereits verwendet wird die korrespondierende SSO Session beendet und die BenutzerIn oder der Benutzer m&uuml;ssen sich erneut Authentifizieren.</li>

- <li>Bei einem g&uuml;ltigen SSO Token antwortet MOA-ID-Auth mit einem <a href="./../config/config.html#konfigurationsparameter_oa_sso">Abfrage zum SSO Anmeldevorgang</a>, welche der BenutzerIn oder dem Benutzer im Browser dargestellt wird. Diese Abfrage beinhaltet den Namen der Online-Applikation 2 und eine einfache JA / NEIN Abfrage ob die Anmeldung mittels SSO an der Online-Applikation 2 fortgesetzt werden soll.<br>

- <li>Die Antwort der BenutzerIn oder dem Benutzer wird an MOA-ID-Auth &uuml;bermittelt. Antwort die BenutzerIn oder der Benutzer mit NEIN wird der Anmeldevorgang abgebrochen.</li>

- <li>Ist die Validierung der Assertion erfolgreich wird die BenutzerIn oder der Benutzer an der Online-Applikation 2 angemeldet</li>

- <p>Das Modul MOA-ID-Auth stellt ein einfaches Service zur Beendigung einer bestehenden Single Sign-On Session zur Verf&uuml;gung. Nach dem Aufruf dieses Service aus dem Browser des Users wird eine bestehende SSO Session beendet und anschlie&szlig;end wird die BenutzerIn oder der Benutzer an eine im LogOut Request angegebene URL weitergeleitet. </p>

- <strong>Hinweis:</strong>Wird eine URL angeben muss diese als Prefix identisch mit dem <a href="./../config/config.html#konfigurationsparameter_oa_general">eindeutigen Identifier der jeweiligen Online-Applikation</a> sein, </p></td>

-<p>Nachstehend ein Beispiel zur Verwendung dieses Services:s</p>

- <td><p>URL auf die B&uuml;rgerkartenumgebung, welche f&uuml;r die Authentifizierung der BenutzerIn oder des Benutzers verwendet werden soll. F&uuml;r den Anmeldevorgang sind jedoch nur jene URLs auf B&uuml;rgerkartenumgebungen erlaubt die auch in der <a href="./../config/config.html#konfigurationsparameter_oa_bku">online-applikationsspezifischen Konfiguration als zu verwendente BKUs</a> eingetragen sind.</p>

- <td><strong>Optional:</strong> URL auf die HTML Vorlage f&uuml;r den Security-Layer Request, welcher f&uuml;r die Kommunikation mit der B&uuml;rgerkartenumgebumg verwendet wird. Die URL muss in der online-applikationsspezifischen Konfiguration von MOA-ID-Auth hinterlegt werden (<a href="file:///D:/Projekte/svn/moa-id/moa-idspss/id/server/doc/handbook/config/config.html#konfigurationsparameter_oa_bku">siehe Parameter <em>SecurityLayerTemplates</em></a>).<br>

- <td><strong>Optional:</strong> Gibt an ob die Anmeldung mittels STORK im angegebenen Land erfolgen soll. Die Angabe erfolgt mit dem L&auml;ndercode (Bsp: PT, LU, ES, ...) des jeweiligen Landes.</td>

- <li>MOA-ID-Auth leitet die BenutzerIn oder den Benutzer zur B&uuml;rgerkartenauswahl.

- <li>Die BenutzerIn oder der Benutzer Authentifiziert sich mit der gew&auml;hlten Methode.</li>

- <li>War die Authentifizierung der BenutzerIn oder des Benutzers erfolgreich generiert MOA-ID-Auth die Assertion mit den Anmeldedaten des Benutzers.</li>

- <li>Ist die Validierung erfolgreich wird die BenutzerIn oder der Benutzer an der Online-Applikation angemeldet.</li>

- <li>Der Request muss durch den Service Provider signiert sein (sie <a href="AuthRequest.xml">Beispiel</a>). Die Signatur wird durch das Modul MOA-ID-Auth mit Hilfe des in den <a href="#pvp21_metadata">Metadaten hinterlegten Zertifikats</a> validiert. Schl&auml;gt die Signaturpr&uuml;fung fehl oder ist keine Signatur vorhanden wird der Request abgewiesen und MOA-ID-Auth antwortet mit http Code <em>400</em> und der Fehlermeldung <em>NO valid protocol request received!</em>.</li>

- <td><p>Der Wert dieses Elements muss den <a href="../config/config.html#konfigurationsparameter_oa_general">eindeutigen Identifier</a> enthalten der f&uuml;r diese Online-Applikation bei MOA-ID-Auth hinterlegt ist (sie <a href="AuthRequest.xml">Beispiel</a>).</p></td>

- <li><strong>POST Binding</strong>: In diesem Fall erfolgt die &Uuml;bertragung mittels eines http POST Formulars welches aus dem Browser der BenutzerIn oder des Benutzers an den Service Provider gesendet wird..</li>

- <td><p>Dieses Element beinhaltet als Attribut den Status Code des Anmeldevorgangs. Nochfolgend die wichtigsten Statuscodes und eine kurze Beschreibung.</p>

- <li><em>urn:oasis:names:tc:SAML:2.0:status:NoPassive</em>: Die BenutzerIn oder der Benutzer ist aktuell keine aktive und g&uuml;ltige Single Sign-On Session mit MOA-ID-Auth. N&auml;here Details zum <em>isPassiv</em> Authentifizierungsrequest finden Sie in der PVP 2.1 oder der SAML2 Spezifikation.</li>

- <p><strong>Hinweis:</strong> Eine vollst&auml;ndige Aufstellung aller m&ouml;gtlichen SAML2 spezifischen Statuscodes fnden Sie in der SAML2 Spezifikation.</p></td>

- <td><p>Dieses Attribut beinhaltet den Bereich des bereichsspezifikschen Personkennzeichens (bPK / wbPK)</p></td>

-<p>OpenID Connect ist ein Authentifizierungsprotkoll welches auf dem OAuth 2.0 Protokoll aufbaut. Dieses Protokoll erlaubt Online-Applikationen die Identifizierung und Authentifizierung von Benutzern, mit Hilfe des Modules MOA-ID-Auth. Der Vorteil von OpenID Connect im Vergleich zu auf SAML basierten Protokollen (PVP 2.1, SAML 1) ist der einfachere Aufbau der einzelnen Protokollnachrichten. Zus�tzlich existieren einige frei Verf�gbare Bibliotheken f�r unterschiedliche Programmiersprachen, welche OpenID Connect implementieren.</p>

-<p>Die nachfolgende Beschreibung gibt einen kurzen �berblick zur Verwendung des Protkolls OpenID Connect in Kombination mit dem Modul MOA-ID-Auth. Detailinformationen zu OpenID Connect entnehmen Sie bitte der aktuellen <a href="#referenzierte_spezifikation">OpenID Connect Spezifikation</a></p>

- <li>Der Service Provider generiert den <a href="#openid_req_authnreq">AuchCode Request</a> und sendet diesen &uuml;ber den Browser an das Modul MOA-ID-Auth.</li>

- <li>MOA-ID-Auth leitet die BenutzerIn oder den Benutzer zur B&uuml;rgerkartenauswahl

- <li>Die BenutzerIn oder der Benutzer Authentifiziert sich mit der gew&auml;hlten Methode.</li>

- <li>Wird die Validierung g&uuml;ltig abgeschlossen kann die BenutzerIn oder der Benutzer am Service Provider angemeldet werden.</li>

-<p>Der AuthCode Request ist die Authentifizierungsanfrage einer Online-Applikation f�r eine BenutzerIn oder einen Benutzer.

- <td>Ist der eindeutige Identifikator f&uuml;r die Online-Applikation. Dieser MUSS mit dem<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Identifikatior aus der Konfiguration</a> identisch sein.</td>

- <td>Die Callback-URI der Online-Applikation zu welcher die Callbacks der OAuth 2.0 Request gesendet werden. Dieser MUSS mit der<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Redirct URL aus der Konfiguration</a> identisch sein.</td>

- <td>Die Callback-URI der Online-Applikation zu welcher die Callbacks der OAuth 2.0 Request gesendet werden. Dieser MUSS mit der<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Redirct URL aus der Konfiguration</a> identisch sein.</td>

- <td>Ist der eindeutige Identifikator f&uuml;r die Online-Applikation. Dieser MUSS mit dem<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Identifikatior aus der Konfiguration</a> identisch sein.</td>

- <li>Die BenutzerIn oder der Benutzer wird zur gew&auml;hlten B&uuml;rgerkartenumgebung weitergeleitet.

- <li>Die BenutzerIn oder der Benutzer Authentifiziert sich mit der gew&auml;hlten Methode.</li>

- <li>War die Authentifizierung der BenutzerIn oder des Benutzers erfolgreich generiert MOA-ID-Auth die Assertion mit den Anmeldedaten des Benutzers.</li>

- <td><p>URL auf die B&uuml;rgerkartenumgebung, welche f&uuml;r die Authentifizierung der BenutzerIn oder des Benutzers verwendet werden soll. </p>

- <td><strong>Optional:</strong> Die sourceID flie&szlig;t in die Genierung des SAML1 Artifacts, welches an den Service Provider returniert wird, ein. Detailinformationen zur Genierierung des SAML1 Artifacts und zur sourceID finden Sie in der <a href="#referenzierte_spezifikation">SAML1 Spezifikation</a>.</td>

-Sollte w&auml;hrend des Anmeldevorgangs ein Fehler aufgetreten sein, antworted das Modul MOA-ID-Auth mit einer Fehlerbeschreibung in der SAML Response. Das Element <code>/samlp:Response/samlp:Status/samlp:StatusCode</code><code>/</code> beinhaltet auf jeden Fall einen allgemeinen Fehlercode laut SAML1 Spezifikation. Zus&auml;tzlich kann das Element <code>/samlp:Response/samlp:Status/samlp:StatusCode</code><code>/</code><code>samlp:StatusCode</code><code>/</code>einen MOA-ID-Auth Fehlercode (siehe <a href="#statuscodes">Kapitel 1.3</a>) beinhalten. Au&szlig;erdem erfolgt eine kurze textuelle Fehlerbeschreibung im Element <code>/samlp:Response/samlp:Status/</code><code>samlp:StatusMessage/</code>.</p>