diff options
author | kstranacher_eGovL <kstranacher_eGovL@d688527b-c9ab-4aba-bd8d-4036d912da1d> | 2012-07-12 11:27:13 +0000 |
---|---|---|
committer | kstranacher_eGovL <kstranacher_eGovL@d688527b-c9ab-4aba-bd8d-4036d912da1d> | 2012-07-12 11:27:13 +0000 |
commit | 1626ac9867cd5406b83e73651080e33c11fb98d1 (patch) | |
tree | 56bea0f086133bcd27017e2bfc205245a6e683b9 /id/server/doc/moa_id | |
parent | a86a5fe1cfe7b0104d6524517414c7d5b5d2a2bb (diff) | |
download | moa-id-spss-1626ac9867cd5406b83e73651080e33c11fb98d1.tar.gz moa-id-spss-1626ac9867cd5406b83e73651080e33c11fb98d1.tar.bz2 moa-id-spss-1626ac9867cd5406b83e73651080e33c11fb98d1.zip |
Integration of STORK
git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@1285 d688527b-c9ab-4aba-bd8d-4036d912da1d
Diffstat (limited to 'id/server/doc/moa_id')
-rw-r--r-- | id/server/doc/moa_id/id-admin_2.htm | 154 | ||||
-rw-r--r-- | id/server/doc/moa_id/moa.htm | 1 |
2 files changed, 154 insertions, 1 deletions
diff --git a/id/server/doc/moa_id/id-admin_2.htm b/id/server/doc/moa_id/id-admin_2.htm index 8a217bfcc..c5ba8827b 100644 --- a/id/server/doc/moa_id/id-admin_2.htm +++ b/id/server/doc/moa_id/id-admin_2.htm @@ -519,6 +519,76 @@ Projekt <span style="font-size:48pt; ">moa</span>  <p><b>AuthComponent/ForeignIdentities</b> <br /> Ab Version 1.4.7 bietet MOA-ID die Möglichkeit der Nutzung von ausländischen Karten. Hierfür ist ein Stammzahlenregister-Gateway nötig, das einen entsprechenden Zugang zum Stammzahlenregister bereitstellt. Es ist hierzu ein entsprechender <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> zu definieren, der die Zugangsdaten zum Gateway bereithält (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>). In der Default-Konfiguration ist der Zugang zum Stammzahlenregister-Gateway bereits aktiviert. Es muss nur noch das Client-Zertifikat für die SSL-Verbinung zum Gateway angegeben werden. Voraussetzung dafür ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID Zertifikat diese Voraussetzung erfüllt, können Sie dieses hier angeben.<br /> </p> + <p><b>AuthComponent/ForeignIdentities/STORK</b> <br /> + <p>Ab MOA Release 1.5.2 ist es auch möglich, ausländische Bürger über <a href="http://eid-stork.eu/" target="_new">STORK</a> zu authentifizieren. Da auch für diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angeführten Ausführungen hinsichtlich <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> auch für STORK. Für eine STORK Authentifizierung sind jedoch noch weitere Konfigurationen notwendig. Folgende Einträge müssen für eine STORK Authentifizierung hier noch konfiguriert werden: + <ul> + <li>C-PEPS Informationen + <br /> + </li> + <li>KeyStore zum SAML Signatur-Zertifikat + <br /> + </li> + <li>MOA-SP TrustProfil zur SAML Signatur-Validierung + <br /> + </li> + </ul> + </p> + <p><b>AuthComponent/ForeignIdentities/STORK/C-PEPS</b> <br /> + Unter diesem Konfigurationselement können die Verbindungsparameter zu den jeweiligen C-PEPS (Citizen Country - PEPS) der europäischen Länder, die auch STORK unterstützen, angegeben werden. Für eine erfolgreiche C-PEPS Konfiguration muss der ISO-Country Code des jeweiligen Landes und die dazugehörige C-PEPS URL angegeben werden. In Ausnahmenfällen müssen bei einzelnen C-PEPS länderspezifische Attribute abgefragt werden, dies funktioniert durch zusätzliche Angabe eines <tt><stork:RequestedAttribute></tt> Elements. Die C-PEPS Konfigurationen sind in den der MOA-Release beliegenden Beispielkonfigurationen bereits vorkonfiguriert. Sollte sich an diesen Konfigurationen etwas ändern, werden diese via JoinUp (<a href="https://joinup.ec.europa.eu/software/moa-idspss/home" target="_new">MOA@JoinUp</a>) bzw. MOA-Mailingliste veröffentlicht. Im Folgenden wird eine Beispielkonfiguration kurz veranschaulicht. + <pre> +<C-PEPS countryCode="PT" URL="https://eu-id.cartaodecidadao.gov.pt/PEPS/ColleagueRequest"/> +<C-PEPS countryCode="SI" URL="https://peps.mju.gov.si/PEPS/ColleagueRequest"> + <stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/fiscalNumber" isRequired="true" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/> +</C-PEPS> +</pre> + Details zur Angabe von <tt><stork:RequestedAttribute></tt> bzw. welche Attribute von STORK überhaupt unterstützt werden, wird in der Konfiguration zur Online Application angegeben (<a href="#OnlineApplication/AuthComponent/STORK">hier</a>). + + <p><b>AuthComponent/ForeignIdentities/STORK/SAMLSigningParameter</b> <br /> + Dieser Konfigurationseintrag enthält Informationen dazu, mit welchem Zertifikat ausgehende STORK SAML Nachichten signiert werden und welches MOA-SP TrustProfil zur Signaturüberprüfung von empfangenen STORK SAML Nachrichten herangezogen werden soll. + In der Konfiguration wird eine Unterscheidung zwischen Signaturerstellungs- und Signaturverifizierungsparameter getroffen: + <ul> + <li><tt><SignatureCreationParameter></tt> + <br /> + </li> + <li><tt><SignatureVerificationParameter></tt> + <br /> + </li> + </ul> + Der <tt><SignatureCreationParameter></tt> kapselt dabei Informationen, welche zum Signieren von ausgehenden STORK SAML Nachrichten benötigt werden. Im Wesentlichen sind das Informationen zu dem KeyStore, welcher das Schlüsselpaar zum Signieren ausgehender STORK SAML Nachrichten beinhaltet. Der entsprechende Konfigurationseintrag sieht wie folgt aus: +<pre> +<SignatureCreationParameter> + <KeyStore password="Keystore Pass">file_to_keystore</KeyStore> + <KeyName password="Keystore Name">signing_key_name</KeyName> +</SignatureCreationParameter> +</pre> + Die folgenden Werte sind dabei anzugeben bzw. durch echte Werte auszutauschen: + <ul> + <li><tt>file_to_keystore</tt>: Relativer Pfad zum KeyStore (Java oder PKCS#12), welcher das Schlüsselpaar zum Signieren ausgehender STORK SAML Nachrichten speichert + <br /> + </li> + <li><tt>Keystore Pass</tt>: Passwort zum angegebenen KeyStore + <br /> + </li> + <li><tt>signing_key_name</tt>: Alias Name des Schlüssels, welcher zum Signieren verwendet werden soll + <br /> + </li> + <li><tt>Key Pass</tt>: Passwort zum angegebenen Schlüssel + <br /> + </li> + </ul> + Der <tt><SignatureCreationParameter></tt> kapselt dabei Informationen, die für eine Signaturprüfung von eingehenden STORK SAML Nachrichten benötigt werden. Im Wesentlich ist das die Angabe des MOA-SP TrustProfils, welches die vertrauenswürdigen Zertifikate der europäischen C-PEPS enthält. Der entsprechende Konfigurationseintrag sieht daher wie folgt aus: +<pre> +<SignatureVerificationParameter> + <TrustProfileID>C-PEPS</TrustProfileID> +</SignatureVerificationParameter> +</pre> +Die folgenden Werte sind dabei anzugeben: + <ul> + <li><tt>TrustProfile</tt>: Dieser Eintrag gibt jenes TrustProfil von MOA-SP an, welches zur Signaturprüfung von eingehenden STORK SAML Nachrichten herangezogen werden soll. Vorkonfiguriert sind die beiden TrustProfiles <tt>C-PEPS</tt> (Produktive C-PEPS Zertifikate) und <tt>C-PEPS-Test</tt> (Test C-PEPS Zertifikate). Sollte es auch hier zu Änderungen kommen, werden diese auch via JoinUp (<a href="https://joinup.ec.europa.eu/software/moa-idspss/home" target="_new">MOA@JoinUp</a>) bzw. MOA-Mailingliste veröffentlicht. + <br /> + </li> + </ul> + <p><b><div id="AuthComponent_OnlineMandates">AuthComponent/OnlineMandates</div></b> <br /> Ab Version 1.5.0 bietet MOA-ID die Möglichkeit der Nutzung von Online-Vollmachten für Anwendungen aus dem öffentlichen Bereich. Hierfür ist ein Online-Vollmachten-Service nötig. Es ist hierzu ein ensprechender <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> zu definieren, der die Zugangsdaten zum Online-Vollmachten-Service bereithält (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>). In der Default-Konfiguration ist der Zugang zum Online-Vollmachten-Service bereits aktiviert. Es muss nur noch das Client-Zertifikat für die SSL-Verbinung zum Service angegeben werden. Voraussetzung dafür ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID Zertifikat diese Voraussetzung erfüllt, können Sie dieses hier angeben.<br /> Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu aktivieren, müssen Sie das Vollmachten Profil angeben - siehe <a href="#OnlineApplication/AuthComponent/Mandates">hier</a>. @@ -923,11 +993,93 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt Mit Hilfe dieses Elements werden die Online-Vollmachten für die Online-Applikation aktiviert. Als Kindelement muss <tt>Profiles</tt> angegeben werden. Dieses Element beinhaltet eine (Komma-separierte) Liste von Vollmachten-Profilen, die festlegen mit welchen Vollmachtstypen man sich bei der Online-Applikation anmelden kann. - Unter <a href="https://vollmachten.stammzahlenregister.gv.at/mis/" target="_blank">https://vollmachten.stammzahlenregister.gv.at/mis/</a> finden Sie eine Liste der unterstützen Vollmachten-Profile.<br/> + Unter <a href="https://vollmachten.stammzahlenregister.gv.at/mis/" target="_blank">https://vollmachten.stammzahlenregister.gv.at/mis/</a> finden Sie eine Liste der unterstützen Vollmachten-Profile.<br/> Hinweis: Hierzu muss auch die Verbindung zum Online-Vollmachten Service konfiguriert werden - siehe <a href="#AuthComponent_OnlineMandates">hier</a> </p> </div> + <div id="OnlineApplication/AuthComponent/STORK" /> + <p id="block"> <b>OnlineApplication/AuthComponent/STORK</b> + <br /> + Innerhalb dieses Konfigurationsblocks kann angegeben werden, welche zusätzlichen Attribute (neben eIdentifier, givenName, surname und dateOfBirth, welche defaultmäßig requested werden) im Rahmen einer STORK Anmeldung für diese Applikation vom Bürger abgefragt werden sollen. Außerdem kann zu Testzwecken das benötigte Authentifzierungslevel (STORK QAALevel) vom defaultmäßig höchstem Level von 4 für diese Applikation verringert werden. + Für ein anderes STORK QAALevel muss folgendes XML Element mit einem Wert zwischen 1 und 4 angegeben werden: <tt><stork:QualityAuthenticationAssuranceLevel></tt>. + <br /> + Die zusätzlichen Attribute werden im Element <tt><storkp:RequestedAttributes></tt> gekapselt. Ein entsprechener Konfigurationseintrag könnte folgendermaßen aussehen: +<pre> +<storkp:RequestedAttributes> + <stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/age" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/> + <stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/eMail" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/> + <stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/isAgeOver" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> + <stork:AttributeValue>1</stork:AttributeValue> + </stork:RequestedAttribute> +</storkp:RequestedAttributes> +</pre> + Bei der Inkludierung von <tt><stork:RequestedAttribute></tt> Elementen sind folgende XML Attribute anzugeben: + <ul> + <li><tt>Name</tt>: Der Name des entsprechenden STORK Attributes. + <br /> + </li> + <li><tt>isRequired</tt>: Gibt durch <tt>true</tt> oder <tt>false</tt> an, ob das angefragte Attribut für die Applikation verpflichtend oder nur optional benötigt wird. + <br /> + </li> + <li><tt>NameFormat</tt>: Gibt das Format des Attributes an und MUSS den Wert <tt>urn:oasis:names:tc:SAML:2.0:attrname-format:uri</tt> beinhalten. + <br /> + </li> + <li>Element <tt><stork:AttributeValue></tt>: Dieses Element ist optional und gibt einen Vergleichswert für ein abzufragendes Attribut an. Im Beispiel von <tt>isAgeOver</tt> wird in der Antwort retourniert, ob die authentifizierte Person älter als das geforderte angegebene Alter ist. + <br /> + </li> + </ul> + Details zu den STORK Attributen können im <a href="../MOA_ID_1.5.2_Anhang.pdf" target="_new">Anhang zur MOA-ID Spezifikation</a> bzw. in der <a href="https://www.eid-stork.eu/index.php?option=com_processes&Itemid=&act=streamDocument&did=1880" target="_blank">STORK Spezifikation</a> gefunden werden. + Im Wesentlichen kann die folgende Menge an Attributen bzw. Teile daraus für eine Online Applikation angefragt werden: + <ul> + <li><tt>http://www.stork.gov.eu/1.0/inheritedFamilyName</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/adoptedFamilyName</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/gender</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/countryCodeOfBirth</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/nationalityCode</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/maritalStatus</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/textResidenceAddress</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/canonicalResidenceAddress</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/eMail</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/title</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/residencePermit</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/pseudonym</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/age</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/citizenQAALevel</tt> + <br /> + </li> + <li><tt>http://www.stork.gov.eu/1.0/isAgeOver</tt> + <br /> + </li> + </p> + </ul> + </div> <div id="OnlineApplication/ProxyComponent" /> <p id="block"> <b>OnlineApplication/ProxyComponent</b> <br /> diff --git a/id/server/doc/moa_id/moa.htm b/id/server/doc/moa_id/moa.htm index 09fb1c5b6..3284e19cc 100644 --- a/id/server/doc/moa_id/moa.htm +++ b/id/server/doc/moa_id/moa.htm @@ -230,6 +230,7 @@ an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weiterge <div id="block"> <p>Ab der MOA Release 1.4.7 ist es möglich, dass sich auch ausländische Bürger mittels MOA-ID einloggen können. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausländischen Bürgers eine Eintragung im Ergänzungsregister für natürliche Personen gemäß E-Government Gesetz §6(5) vornimmt. Somit ist es möglich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird. </p> <p>Der Zugang zu diesem Stammzahlenregister-Gateway ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p> + <p>Ab MOA Release 1.5.2 ist es auch möglich, ausländische Bürger über <a href="http://eid-stork.eu/" target="_new">STORK</a> zu authentifizieren. Da auch für diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angeführten Ausführungen auch für STORK.</p> </div> <div id="subtitel">Online-Vollmachten</div> |