aboutsummaryrefslogtreecommitdiff
path: root/id/server/doc/handbook
diff options
context:
space:
mode:
authorThomas Lenz <tlenz@iaik.tugraz.at>2019-12-13 10:13:05 +0100
committerThomas Lenz <tlenz@iaik.tugraz.at>2019-12-13 10:13:05 +0100
commit6fc2e600055d4737ce94d8a012eb3764bd7e93c8 (patch)
tree56aebaaac2c87458ebfd798a2c66f95718e1dd4e /id/server/doc/handbook
parentde2e45024694c7eb5e033bc6b1bcb90f5f499b07 (diff)
parentbea0d19650b5fbbb48fcda0f39ef3a93d6cf6f1f (diff)
downloadmoa-id-spss-6fc2e600055d4737ce94d8a012eb3764bd7e93c8.tar.gz
moa-id-spss-6fc2e600055d4737ce94d8a012eb3764bd7e93c8.tar.bz2
moa-id-spss-6fc2e600055d4737ce94d8a012eb3764bd7e93c8.zip
Merge branch 'current_development' into development_preview
# Conflicts: # id/history.txt # id/server/modules/moa-id-modul-citizencard_authentication/src/main/java/at/gv/egovernment/moa/id/auth/AuthenticationServer.java # pom.xml
Diffstat (limited to 'id/server/doc/handbook')
-rw-r--r--id/server/doc/handbook/config/config.html99
-rw-r--r--id/server/doc/handbook/protocol/protocol.html12
2 files changed, 83 insertions, 28 deletions
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index 4fb57cb3a..0b9f7e614 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -60,6 +60,7 @@
<li><a href="#basisconfig_moa_id_auth_param_services_moasp">MOA-SP</a></li>
<li><a href="#basisconfig_moa_id_auth_param_services_mandates">Online-Vollmachen</a></li>
<li><a href="#">Zentraler eIDAS Knoten</a></li>
+ <li><a href="#basisconfig_moa_id_auth_param_services_EID">E-ID Anbindung</a></li>
</ol>
</li>
<li><a href="#basisconfig_moa_id_auth_param_protocol">Protokolle</a>
@@ -119,7 +120,7 @@
<li><a href="#konfigurationsparameter_oa_general_business">Privatwirtschaftlicher Bereich</a></li>
</ol>
</li>
- <li><a href="#konfigurationsparameter_oa_eID_demo">Demo-Modus f&uuml;r E-ID</a></li>
+ <li><a href="#konfigurationsparameter_oa_eID_demo">Aktivierung der E-ID Anbindung</a></li>
<li><a href="#konfigurationsparameter_oa_bku">BKU Konfiguration</a></li>
<li><a href="#konfigurationsparameter_oa_sl20">Security Layer für mobile Authententifizierung</a></li>
<li><a href="#konfigurationsparameter_oa_testcredentials">Test Credentials</a></li>
@@ -563,6 +564,77 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
</tr>
</table>
<p>&nbsp;</p>
+<h5><a name="basisconfig_moa_id_auth_param_services_EID" id="uebersicht_bekanntmachung6"></a>2.2.2.2.4 Anbindung an das E-ID System</h5>
+<p>Die Anbindung und Weiterleitung an das zentrale E-ID System erfolgt via PVP2 S-Profil (SAML2). F&uuml;r das in MOA-ID 4.x integrierte E-ID Proxy Authentifizierungsmodul sind folgende Konfigurationsparameter erforderlich.</p>
+<table class="configtable">
+ <tr>
+ <th>Name</th>
+ <th>Beispielwert</th>
+ <th>Beschreibung</th>
+ </tr>
+ <tr>
+ <td>modules.eidproxyauth.keystore.path</td>
+ <td>keys/szrgw.p12</td>
+ <td>Dateiname des Java Keystore oder PKCS12 Keystore zur Signierung von PVP 2.x spezifischen Inhalten. (PVP 2.x Metadaten, PVP 2.1 Assertion)</td>
+ </tr>
+ <tr>
+ <td>modules.eidproxyauth.keystore.password</td>
+ <td>pass1234</td>
+ <td>Passwort zum Keystore</td>
+ </tr>
+ <tr>
+ <td>modules.eidproxyauth.metadata.sign.alias</td>
+ <td>&nbsp;</td>
+ <td>Name des Schl&uuml;ssels der zur Signierung der PVP 2.x Metadaten des E-ID Proxy Authentifizierungsmoduls</td>
+ </tr>
+ <tr>
+ <td>modules.eidproxyauth.metadata.sign.password</td>
+ <td>&nbsp;</td>
+ <td>Passwort des Schl&uuml;ssels der zur Signierung der PVP 2.x Metadaten des E-ID Proxy Authentifizierungsmoduls</td>
+ </tr>
+ <tr>
+ <td>modules.eidproxyauth.request.sign.alias</td>
+ <td>&nbsp;</td>
+ <td>Name des Schl&uuml;ssels mit dem der PVP 2.x Authn. Request durch MOA-ID unterschieben wird</td>
+ </tr>
+ <tr>
+ <td>modules.eidproxyauth.request.sign.password</td>
+ <td>&nbsp;</td>
+ <td>Passwort des Schl&uuml;ssels mit dem der PVP 2.x Authn. Request durch MOA-ID unterschieben wird</td>
+ </tr>
+ <tr>
+ <td>modules.eidproxyauth.response.encryption.alias</td>
+ <td>&nbsp;</td>
+ <td>Name des Schl&uuml;ssels mit dem die PVP 2.x Assertion f&uuml;r MOA-ID verschl&uuml;sselt werden soll</td>
+ </tr>
+ <tr>
+ <td>modules.eidproxyauth.response.encryption.password</td>
+ <td>&nbsp;</td>
+ <td>Passwort des Schl&uuml;ssels mit dem PVP 2.x Assertion f&uuml;r MOA-ID verschl&uuml;sselt werden soll</td>
+ </tr>
+ <tr>
+ <td>modules.eidproxyauth.EID.trustprofileID</td>
+ <td>eid_metadata</td>
+ <td>MOA-SP TrustProfil welches die vertrauensw&uuml;rdigen Zertifikate zur Validierung der Metadaten des zentralen E-ID Systemas beinhaltet</td>
+ </tr>
+ <tr>
+ <td>modules.eidproxyauth.EID.entityId</td>
+ <td>&nbsp;</td>
+ <td><strong>Optional</strong>: EntityID des IDPs im zentralen E-ID System</td>
+ </tr>
+ <tr>
+ <td>modules.eidproxyauth.EID.metadataUrl</td>
+ <td>&nbsp;</td>
+ <td><strong>Optional:</strong> URL auf die SAML2 Metadaten des zentralen E-ID System, sofern diese nicht &uuml;ber die EntityID geladen werden k&ouml;nnen</td>
+ </tr>
+ <tr>
+ <td>modules.eidproxyauth.required.additional.attributes.x</td>
+ <td>&nbsp;</td>
+ <td><p><strong>Optional:</strong> zus&auml;tzliche Attribute welche vom zentralen E-ID System angefordert werden</p>
+ <p>Attribute werden entspechend PVP2 Attribute-Profil angegeben. Beispiele f&uuml;r die Konfiguration finden Sie in der Beispielkonfiguration</p></td>
+ </tr>
+</table>
+<p>&nbsp;</p>
<h5><a name="basisconfig_moa_id_auth_param_protocol" id="uebersicht_bekanntmachung9"></a>2.2.2.3 Protokolle</h5>
<p>MOA-ID-Auth unterst&uuml;tzt mehrere Authentifizierungsprotokolle. Manche dieser Protokolle ben&ouml;tigen Schl&uuml;ssel zur Signierung von Authentifizierungsdaten oder Metadaten. In diesem Abschnitt erfolgt die Konfiguration des zu verwendeten Schl&uuml;sselmaterials. </p>
<h6><a name="basisconfig_moa_id_auth_param_protocol_pvp21" id="uebersicht_bekanntmachung10"></a>2.2.2.3.1 PVP 2.1</h6>
@@ -1569,8 +1641,8 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
</table>
<p>&nbsp;</p>
-<h4><a name="konfigurationsparameter_oa_eID_demo" id="uebersicht_zentraledatei_aktualisierung32"></a>3.2.2 Demo-Modus f&uuml;r E-ID</h4>
-<p>Dieser Abschnitt behandelt den Demo-Modus f&uuml;r die kommende E-ID welcher mit der MOA-ID Version 3.4.2 eingef&uuml;hrt wurde. Ist der Demo-Modus aktiviert &auml;ndert sich das m&ouml;gliche Attribut-Set welches Online Applikation zur Verf&uuml;gung gestellt wird. Als Attributbezeichner in der nachfolgenden Liste werden die Attributebezeichnungen aus dem PVP Attribute-Profil verwendet. Ein Mapping auf OpenID-Connect Scopes oder SAML1 Attribute finden Sie in Kapitel <a href="../protocol/protocol.html#allgemeines_attribute">Protokolle</a>. Als weitere Anpassung wird mit hoher Wahrscheinlichkeit die iFrame Integration der Handy-Signatur nicht mehr zur Verf&uuml;gung stehen und es erfolgt eine vollformat Weiterleitung an den E-ID. Diese Anpassung ist in der MOA-ID Version 3.4.2 noch nicht ber&uuml;cksichtig.</p>
+<h4><a name="konfigurationsparameter_oa_eID_demo" id="uebersicht_zentraledatei_aktualisierung32"></a>3.2.2 Aktivierung der E-ID Anbindung</h4>
+<p>Dieser Abschnitt behandelt den E-ID Proxy Mode von MOA-ID welcher mit der Version 4.0 eingef&uuml;hrt wurde. Ist der E-ID Proxy Mode aktiviert &auml;ndert sich das m&ouml;gliche Attribut-Set welches Online Applikation zur Verf&uuml;gung gestellt wird, da der Benutzer an das E-ID System zur Authentifizierung weitergeleitet wird. Als Attributbezeichner in der nachfolgenden Liste werden die Attributebezeichnungen aus dem PVP Attribute-Profil verwendet. Ein Mapping auf OpenID-Connect Scopes oder SAML1 Attribute finden Sie in Kapitel <a href="../protocol/protocol.html#allgemeines_attribute">Protokolle</a>. </p>
<p>Folgende Attribute stehen nicht mehr zur Verf&uuml;gung:</p>
<ul>
<li>EID-SOURCE-PIN (urn:oid:1.2.40.0.10.2.1.1.261.36)</li>
@@ -1598,28 +1670,11 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<th width="50%">Beschreibung</th>
</tr>
<tr>
- <td><span id="wwlbl_loadOA_targetConfig_eidDemoActive">Demo-Modus aktivieren</span></td>
+ <td><span id="wwlbl_loadOA_targetConfig_eidDemoActive">E-ID aktivieren</span></td>
<td><p>&nbsp;</p></td>
<td align="center">&nbsp;</td>
<td align="center">X</td>
- <td>Aktiviert den Demo-Modus f&uuml;r die E-ID in dieser Online Applikation. </td>
- </tr>
- <tr>
- <td><span id="wwlbl_loadOA_targetConfig_foreignbPKTargets">Sektoren f&uuml;r Fremd-bPKs</span></td>
- <td>wbpk+FN+468924i,BMI+T1</td>
- <td align="center">&nbsp;</td>
- <td align="center">X</td>
- <td><p>Eine CSV Liste von Bereichen f&uuml;r welche die Online Applikation verschl&uuml;sselte Fremd-bPKs ben&ouml;tigt. </p>
- <p><strong>Hinweis:</strong> Da es sich hierbei nur um eine Demo handelt muss <a href="#basisconfig_moa_id_auth_others">das Schl&uuml;sselmaterial f&uuml;r die Verschl&uuml;sselung in MOA-ID hinterlegt werden</a>.</p></td>
- </tr>
- <tr>
- <td><span id="wwlbl_loadOA_targetConfig_additionalbPKTargets">Sektoren f&uuml;r weitere bPKs</span></td>
- <td><p>urn:publicid:gv.at:cdid+T1,</p>
- <p>urn:publicid:gv.at:wbpk+FN+468924i</p></td>
- <td align="center">&nbsp;</td>
- <td align="center">X</td>
- <td><p>Eine CSV Liste von Bereichen f&uuml;r welche die Online Applikation bPKs aus anderen Bereichen ben&ouml;togt.</p>
- <p><strong>Hinweis:</strong> Die Angabe der Bereiche erfolgt mit dem vollst&auml;ndigen Bereichsidentifier inkl. Prefix.</p></td>
+ <td>Aktiviert die Weiterleitung an den E-ID f&uuml;r diese Online Applikation. </td>
</tr>
</table>
<p>&nbsp;</p>
diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html
index 2b3dbff98..dc55dda3b 100644
--- a/id/server/doc/handbook/protocol/protocol.html
+++ b/id/server/doc/handbook/protocol/protocol.html
@@ -123,12 +123,12 @@ Redirect Binding</td>
<td><a href="#openid">OpenID Connect</a></td>
<td>Authentifizierungsrequest <br>
(AuthCode-Request)</td>
- <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth3/auth</td>
+ <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth2/auth</td>
</tr>
<tr>
<td><a href="#openid">OpenID Connect</a></td>
<td><p>AccessToken-Request</p></td>
- <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth3/token</td>
+ <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth2/token</td>
</tr>
<tr>
<td><a href="#saml1">SAML 1</a></td>
@@ -1320,8 +1320,8 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/metadata
<h3><a name="openid_interface"></a>3.2 Zugangspunkte</h3>
<p>Zur Verwendung von OpenID Connect stellt das Modul MOA-ID-Auth zwei Zugangspunkte zur Kommunikation mit der Online-Applikation zur Verfügung. Diese Zugangspunkte bezeichnen die URLs unter welchen das Modul MOA-ID-Auth die entsprechenden OpenID Connect Nachrichten entgegennimmt.</p>
<ul>
- <li><b>AuthCode-Request:</b> <em>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth3/auth</em><br> Unter dieser URL wird der Authn Request entgegengenommen. Dieser Request startet den Authentifizierungsvorgang an der Online-Applikation. Hier finden Sie Detailinformationen zum <a href="#openid_req_authnreq"> Request </a>und zur <a href="#openid_req_authnresp">Response</a>.</li>
- <li><b>AccessToken-Request:</b> <em>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth3/token</em><br> Unter dieser URL können nach erfolgreicher Authentifizierung die eigentlichen Authentifizierungsdaten am Modul MOA-ID-Auth abgeholt werden. Hier finden Sie Detailinformationen zum <a href="#openid_req_tokenreq"> Request </a>und zur <a href="#openid_req_tokenresp">Response</a>.</li>
+ <li><b>AuthCode-Request:</b> <em>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth2/auth</em><br> Unter dieser URL wird der Authn Request entgegengenommen. Dieser Request startet den Authentifizierungsvorgang an der Online-Applikation. Hier finden Sie Detailinformationen zum <a href="#openid_req_authnreq"> Request </a>und zur <a href="#openid_req_authnresp">Response</a>.</li>
+ <li><b>AccessToken-Request:</b> <em>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth2/token</em><br> Unter dieser URL können nach erfolgreicher Authentifizierung die eigentlichen Authentifizierungsdaten am Modul MOA-ID-Auth abgeholt werden. Hier finden Sie Detailinformationen zum <a href="#openid_req_tokenreq"> Request </a>und zur <a href="#openid_req_tokenresp">Response</a>.</li>
</ul>
<h3><a name="openid_requests"></a>3.3 Beschreibung der Nachrichten</h3>
<p>Dieser Abschnitt beschreibt die einzelnen OpenID Connect spezifischen Nachrichten, welche zwischen der Online-Applikation und dem Modul MOA-ID-Auth während eines Authentifizierungsvorgangs ausgetauscht werden. Hierbei wird auch auf das Sequenzdiagramm aus <a href="#openid_sequenzdiagramm">Abschnitt 3.1</a> Bezug genommen.</p>
@@ -1376,7 +1376,7 @@ Folgende Parameter m&uuml;ssen mit dem AuthCode-Request mitgesendet werden, wobe
</table>
<p>&nbsp;</p>
<p>Nachfolgend ein Beispiel f&uuml;r einen OpenID Connect Authentifizierungsrequest an das Modul MOA-ID-Auth.</p>
-<pre>&lt;form method=&quot;get&quot; action=&quot;https://demo.egiz.gv.at/demoportal_moaid-2.0/oauth3/auth&quot;&gt;
+<pre>&lt;form method=&quot;get&quot; action=&quot;https://demo.egiz.gv.at/demoportal_moaid-2.0/oauth2/auth&quot;&gt;
&lt;input type=&quot;hidden&quot; value=&quot;code&quot; name=&quot;response_type&quot;&gt;
&lt;input type=&quot;hidden&quot; value=&quot;https://demo.egiz.gv.at/demoportal-openID_demo&quot; name=&quot;client_id&quot;&gt;
&lt;input type=&quot;hidden&quot; value=&quot;https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action&quot; name=&quot;redirect_uri&quot;&gt;
@@ -1442,7 +1442,7 @@ Folgende Parameter m&uuml;ssen mit dem AuthCode-Request mitgesendet werden, wobe
</table>
<p>&nbsp;</p>
<p>Nachfolgend ein Beispiel f&uuml;r einen AccessToken Request</p>
-<pre>&lt;form method=&quot;POST&quot; action=&quot;https://demo.egiz.gv.at/demoportal_moaid-2.0/oauth3/token&quot;&gt;
+<pre>&lt;form method=&quot;POST&quot; action=&quot;https://demo.egiz.gv.at/demoportal_moaid-2.0/oauth2/token&quot;&gt;
&lt;input type=&quot;hidden&quot; value=&quot;authorization_code&quot; name=&quot;grant_type&quot;&gt;
&lt;input type=&quot;hidden&quot; value=&quot;https://demo.egiz.gv.at/demoportal-openID_demo&quot; name=&quot;client_id&quot;&gt;
&lt;input type=&quot;hidden&quot; value=&quot;https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action&quot; name=&quot;redirect_uri&quot;&gt;