diff options
| author | Thomas Lenz <tlenz@iaik.tugraz.at> | 2019-12-13 09:04:58 +0100 |
|---|---|---|
| committer | Thomas Lenz <tlenz@iaik.tugraz.at> | 2019-12-13 09:04:58 +0100 |
| commit | 6bcda4bc120c743bab2296c72b22d1db0ba4ccfc (patch) | |
| tree | dbb34ba3d3142ae5131ca73b2d65339ba32e9881 /id/server | |
| parent | 38f60c2385cd47c320942fdc7c9eb158f0e320e0 (diff) | |
| download | moa-id-spss-6bcda4bc120c743bab2296c72b22d1db0ba4ccfc.tar.gz moa-id-spss-6bcda4bc120c743bab2296c72b22d1db0ba4ccfc.tar.bz2 moa-id-spss-6bcda4bc120c743bab2296c72b22d1db0ba4ccfc.zip | |
update configuration examples
activate MOA-ID mode in configuration module as default
Diffstat (limited to 'id/server')
| -rw-r--r-- | id/server/data/deploy/conf/moa-id/moa-id.properties | 137 | ||||
| -rw-r--r-- | id/server/doc/handbook/config/config.html | 99 |
2 files changed, 213 insertions, 23 deletions
diff --git a/id/server/data/deploy/conf/moa-id/moa-id.properties b/id/server/data/deploy/conf/moa-id/moa-id.properties index 414293350..926f6153b 100644 --- a/id/server/data/deploy/conf/moa-id/moa-id.properties +++ b/id/server/data/deploy/conf/moa-id/moa-id.properties @@ -18,7 +18,7 @@ configuration.moasession.key=SessionEncryptionKey configuration.moaconfig.key=ConfigurationEncryptionKey configuration.ssl.validation.revocation.method.order=ocsp,crl #configuration.ssl.validation.hostname=false -#configuration.validate.authblock.targetfriendlyname=true +#configuration.validate.authblock.targetfriendlyname=true< #MOA-ID 3.x Monitoring Servlet @@ -31,6 +31,25 @@ configuration.advancedlogging.active=false ######################## Externe Services ############################################ +######## Online mandates webservice (MIS) ######## +service.onlinemandates.acceptedServerCertificates= +service.onlinemandates.clientKeyStore=keys/.... +service.onlinemandates.clientKeyStorePassword= + +######## central eIDAS-node connector module ########## +modules.eidascentralauth.keystore.path=file:$PATH_TO_CONFIG$/conf/moa-id/keys/moa_idp[password].p12 +modules.eidascentralauth.keystore.password=password +modules.eidascentralauth.metadata.sign.alias=pvp_metadata +modules.eidascentralauth.metadata.sign.password=password +modules.eidascentralauth.request.sign.alias=pvp_assertion +modules.eidascentralauth.request.sign.password=password +modules.eidascentralauth.response.encryption.alias=pvp_assertion +modules.eidascentralauth.response.encryption.password=password +modules.eidascentralauth.node.trustprofileID=centralnode_metadata + +#modules.eidascentralauth.semper.mandates.active=false +#modules.eidascentralauth.semper.msproxy.list= + ######## central E-ID System connector module ########## modules.eidproxyauth.keystore.path=file:$PATH_TO_CONFIG$/conf/moa-id/keys/moa_idp[password].p12 modules.eidproxyauth.keystore.password=password @@ -45,6 +64,26 @@ modules.eidproxyauth.EID.trustprofileID=eid_metadata #modules.eidproxyauth.EID.entityId=https://eid.egiz.gv.at/idp/shibboleth #modules.eidproxyauth.EID.metadataUrl= +######################## Protokolle am IDP ############################################ + +##Protocol configuration## +#PVP2 +protocols.pvp2.idp.ks.file=file:$PATH_TO_CONFIG$/conf/moa-id/keys/moa_idp[password].p12 +protocols.pvp2.idp.ks.kspassword=password +protocols.pvp2.idp.ks.metadata.alias=pvp_metadata +protocols.pvp2.idp.ks.metadata.keypassword=password +protocols.pvp2.idp.ks.assertion.sign.alias=pvp_assertion +protocols.pvp2.idp.ks.assertion.sign.keypassword=password +protocols.pvp2.idp.ks.assertion.encryption.alias=pvp_assertion +protocols.pvp2.idp.ks.assertion.encryption.keypassword=password +protocols.pvp2.metadata.entitycategories.active=false + +#OpenID connect (OAuth) +protocols.oauth20.jwt.ks.file=file:$PATH_TO_CONFIG$/conf/moa-id/keys/moa_idp[password].p12 +protocols.oauth20.jwt.ks.password=password +protocols.oauth20.jwt.ks.key.name=oauth +protocols.oauth20.jwt.ks.key.password=password + ######################## Datenbankkonfiguration ############################################ configuration.database.byteBasedValues=false @@ -134,6 +173,63 @@ advancedlogging.dbcp.validationQuery=select 1 ## The configuration of this modules is only needed if this modules are in use. # ################################################################################### +######## SL2.0 authentication module ######## +modules.sl20.vda.urls.qualeID.endpoint.default=https://www.handy-signatur.at/securitylayer2 +modules.sl20.vda.urls.qualeID.endpoint.1=https://hs-abnahme.a-trust.at/securitylayer2 +modules.sl20.vda.urls.qualeID.endpoint.2=https://test1.a-trust.at/securitylayer2 +modules.sl20.security.keystore.path=keys/sl20.jks +modules.sl20.security.keystore.password=password +modules.sl20.security.sign.alias=signing +modules.sl20.security.sign.password=password +modules.sl20.security.encryption.alias=encryption +modules.sl20.security.encryption.password=password +modules.sl20.vda.authblock.id=default +modules.sl20.vda.authblock.transformation.id=SL20Authblock_v1.0,SL20Authblock_v1.0_SIC +modules.sl20.security.eID.validation.disable=false +modules.sl20.security.eID.signed.result.required=true +modules.sl20.security.eID.encryption.enabled=true +modules.sl20.security.eID.encryption.required=true + +######## user-restriction ########## +configuration.restrictions.sp.entityIds= +configuration.restrictions.sp.users.url= +configuration.restrictions.sp.users.sector= + +####### Direkte Fremd-bPK Berechnung ######## +configuration.foreignsectors.pubkey.xxxxTargetxxx= xxx BASE64-Cert xxx + +######## eIDAS protocol configuration ######## +######## This is ONLY required, if MOA-ID operates as an eIDAS node!!! ######## +moa.id.protocols.eIDAS.samlengine.config.file=eIDAS/SamlEngine_basics.xml +moa.id.protocols.eIDAS.samlengine.sign.config.file=eIDAS/SignModule.xml +moa.id.protocols.eIDAS.samlengine.enc.config.file=eIDAS/EncryptModule.xml +moa.id.protocols.eIDAS.metadata.validation.truststore=eIDAS_metadata +moa.id.protocols.eIDAS.node.country=Austria +moa.id.protocols.eIDAS.node.countrycode=AT +moa.id.protocols.eIDAS.node.LoA=http://eidas.europa.eu/LoA/high + +######## HBV Mandate-Service client module ######## +modules.elga_mandate.nameID.target=urn:publicid:gv.at:cdid+GH +modules.elga_mandate.service.metadata.trustprofileID= +modules.elga_mandate.service.mandateprofiles= +modules.elga_mandate.keystore.path=keys/moa_idp[password].p12 +modules.elga_mandate.keystore.password=password +modules.elga_mandate.metadata.sign.alias=pvp_metadata +modules.elga_mandate.metadata.sign.password=password +modules.elga_mandate.request.sign.alias=pvp_assertion +modules.elga_mandate.request.sign.password=password +modules.elga_mandate.response.encryption.alias=pvp_assertion +modules.elga_mandate.response.encryption.password=password + +######## SSO Interfederation client module ######## +modules.federatedAuth.keystore.path=keys/moa_idp[password].p12 +modules.federatedAuth.keystore.password=password +modules.federatedAuth.metadata.sign.alias=pvp_metadata +modules.federatedAuth.metadata.sign.password=password +modules.federatedAuth.request.sign.alias=pvp_assertion +modules.federatedAuth.request.sign.password=password +modules.federatedAuth.response.encryption.alias=pvp_assertion +modules.federatedAuth.response.encryption.password=password ######## Redis Settings, if Redis is used as a backend for session data. # has to be enabled with the following parameter @@ -141,3 +237,42 @@ advancedlogging.dbcp.validationQuery=select 1 redis.use-pool=true redis.host-name=localhost redis.port=6379 + +################SZR Client configuration#################################### +## The SZR client is only required if MOA-ID-Auth should be +## use as STORK <-> PVP Gateway. +######## +service.egovutil.szr.test=true +service.egovutil.szr.test.url=https://pvawp.bmi.gv.at/bmi.gv.at/soap/SZ2Services-T/services/SZR +service.egovutil.szr.prod.url=https://pvawp.bmi.gv.at/bmi.gv.at/soap/SZ2Services/services/SZR +service.egovutil.szr.token.version=1.8 +service.egovutil.szr.token.participantid= +service.egovutil.szr.token.gvoudomain= +service.egovutil.szr.token.userid= +service.egovutil.szr.token.cn= +service.egovutil.szr.token.gvouid= +service.egovutil.szr.token.ou= +service.egovutil.szr.token.gvsecclass= +service.egovutil.szr.token.gvfunction= +service.egovutil.szr.token.gvgid= +service.egovutil.szr.roles= +service.egovutil.szr.ssl.keystore.file= +service.egovutil.szr.ssl.keystore.password= +service.egovutil.szr.ssl.keystore.type= +service.egovutil.szr.ssl.truststore.file= +service.egovutil.szr.ssl.truststore.password= +service.egovutil.szr.ssl.truststore.type= +service.egovutil.szr.ssl.trustall=false +service.egovutil.szr.ssl.laxhostnameverification=false + + +################ Encrypted foreign bPK generation #################################### +## This demo-extension enables encrypted bPK generation on MOA-ID-Auth side. +## If you like to use this feature, the public key for encryption has to be added +## as X509 certificate in Base64 encoded from. The selection will be done on sector +## identifier, like 'wbpk+FN+195755b' for a private company (similar to ENC_BPK_LIST in +## PVP Attribute Profie 2.1.2) +## Additonal encryption keys can be added by add a ney configuration line, like +## configuration.foreignsectors.pubkey.BMI+T1=MIICuTCCAaG (VKZ='BMI', Public Target='T1') +######## +#configuration.foreignsectors.pubkey.wbpk+FN+195755b=MIIF2TCCA8GgAw...
\ No newline at end of file diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 4fb57cb3a..0b9f7e614 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -60,6 +60,7 @@ <li><a href="#basisconfig_moa_id_auth_param_services_moasp">MOA-SP</a></li> <li><a href="#basisconfig_moa_id_auth_param_services_mandates">Online-Vollmachen</a></li> <li><a href="#">Zentraler eIDAS Knoten</a></li> + <li><a href="#basisconfig_moa_id_auth_param_services_EID">E-ID Anbindung</a></li> </ol> </li> <li><a href="#basisconfig_moa_id_auth_param_protocol">Protokolle</a> @@ -119,7 +120,7 @@ <li><a href="#konfigurationsparameter_oa_general_business">Privatwirtschaftlicher Bereich</a></li> </ol> </li> - <li><a href="#konfigurationsparameter_oa_eID_demo">Demo-Modus für E-ID</a></li> + <li><a href="#konfigurationsparameter_oa_eID_demo">Aktivierung der E-ID Anbindung</a></li> <li><a href="#konfigurationsparameter_oa_bku">BKU Konfiguration</a></li> <li><a href="#konfigurationsparameter_oa_sl20">Security Layer für mobile Authententifizierung</a></li> <li><a href="#konfigurationsparameter_oa_testcredentials">Test Credentials</a></li> @@ -563,6 +564,77 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet</pre> </tr> </table> <p> </p> +<h5><a name="basisconfig_moa_id_auth_param_services_EID" id="uebersicht_bekanntmachung6"></a>2.2.2.2.4 Anbindung an das E-ID System</h5> +<p>Die Anbindung und Weiterleitung an das zentrale E-ID System erfolgt via PVP2 S-Profil (SAML2). Für das in MOA-ID 4.x integrierte E-ID Proxy Authentifizierungsmodul sind folgende Konfigurationsparameter erforderlich.</p> +<table class="configtable"> + <tr> + <th>Name</th> + <th>Beispielwert</th> + <th>Beschreibung</th> + </tr> + <tr> + <td>modules.eidproxyauth.keystore.path</td> + <td>keys/szrgw.p12</td> + <td>Dateiname des Java Keystore oder PKCS12 Keystore zur Signierung von PVP 2.x spezifischen Inhalten. (PVP 2.x Metadaten, PVP 2.1 Assertion)</td> + </tr> + <tr> + <td>modules.eidproxyauth.keystore.password</td> + <td>pass1234</td> + <td>Passwort zum Keystore</td> + </tr> + <tr> + <td>modules.eidproxyauth.metadata.sign.alias</td> + <td> </td> + <td>Name des Schlüssels der zur Signierung der PVP 2.x Metadaten des E-ID Proxy Authentifizierungsmoduls</td> + </tr> + <tr> + <td>modules.eidproxyauth.metadata.sign.password</td> + <td> </td> + <td>Passwort des Schlüssels der zur Signierung der PVP 2.x Metadaten des E-ID Proxy Authentifizierungsmoduls</td> + </tr> + <tr> + <td>modules.eidproxyauth.request.sign.alias</td> + <td> </td> + <td>Name des Schlüssels mit dem der PVP 2.x Authn. Request durch MOA-ID unterschieben wird</td> + </tr> + <tr> + <td>modules.eidproxyauth.request.sign.password</td> + <td> </td> + <td>Passwort des Schlüssels mit dem der PVP 2.x Authn. Request durch MOA-ID unterschieben wird</td> + </tr> + <tr> + <td>modules.eidproxyauth.response.encryption.alias</td> + <td> </td> + <td>Name des Schlüssels mit dem die PVP 2.x Assertion für MOA-ID verschlüsselt werden soll</td> + </tr> + <tr> + <td>modules.eidproxyauth.response.encryption.password</td> + <td> </td> + <td>Passwort des Schlüssels mit dem PVP 2.x Assertion für MOA-ID verschlüsselt werden soll</td> + </tr> + <tr> + <td>modules.eidproxyauth.EID.trustprofileID</td> + <td>eid_metadata</td> + <td>MOA-SP TrustProfil welches die vertrauenswürdigen Zertifikate zur Validierung der Metadaten des zentralen E-ID Systemas beinhaltet</td> + </tr> + <tr> + <td>modules.eidproxyauth.EID.entityId</td> + <td> </td> + <td><strong>Optional</strong>: EntityID des IDPs im zentralen E-ID System</td> + </tr> + <tr> + <td>modules.eidproxyauth.EID.metadataUrl</td> + <td> </td> + <td><strong>Optional:</strong> URL auf die SAML2 Metadaten des zentralen E-ID System, sofern diese nicht über die EntityID geladen werden können</td> + </tr> + <tr> + <td>modules.eidproxyauth.required.additional.attributes.x</td> + <td> </td> + <td><p><strong>Optional:</strong> zusätzliche Attribute welche vom zentralen E-ID System angefordert werden</p> + <p>Attribute werden entspechend PVP2 Attribute-Profil angegeben. Beispiele für die Konfiguration finden Sie in der Beispielkonfiguration</p></td> + </tr> +</table> +<p> </p> <h5><a name="basisconfig_moa_id_auth_param_protocol" id="uebersicht_bekanntmachung9"></a>2.2.2.3 Protokolle</h5> <p>MOA-ID-Auth unterstützt mehrere Authentifizierungsprotokolle. Manche dieser Protokolle benötigen Schlüssel zur Signierung von Authentifizierungsdaten oder Metadaten. In diesem Abschnitt erfolgt die Konfiguration des zu verwendeten Schlüsselmaterials. </p> <h6><a name="basisconfig_moa_id_auth_param_protocol_pvp21" id="uebersicht_bekanntmachung10"></a>2.2.2.3.1 PVP 2.1</h6> @@ -1569,8 +1641,8 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der </table> <p> </p> -<h4><a name="konfigurationsparameter_oa_eID_demo" id="uebersicht_zentraledatei_aktualisierung32"></a>3.2.2 Demo-Modus für E-ID</h4> -<p>Dieser Abschnitt behandelt den Demo-Modus für die kommende E-ID welcher mit der MOA-ID Version 3.4.2 eingeführt wurde. Ist der Demo-Modus aktiviert ändert sich das mögliche Attribut-Set welches Online Applikation zur Verfügung gestellt wird. Als Attributbezeichner in der nachfolgenden Liste werden die Attributebezeichnungen aus dem PVP Attribute-Profil verwendet. Ein Mapping auf OpenID-Connect Scopes oder SAML1 Attribute finden Sie in Kapitel <a href="../protocol/protocol.html#allgemeines_attribute">Protokolle</a>. Als weitere Anpassung wird mit hoher Wahrscheinlichkeit die iFrame Integration der Handy-Signatur nicht mehr zur Verfügung stehen und es erfolgt eine vollformat Weiterleitung an den E-ID. Diese Anpassung ist in der MOA-ID Version 3.4.2 noch nicht berücksichtig.</p> +<h4><a name="konfigurationsparameter_oa_eID_demo" id="uebersicht_zentraledatei_aktualisierung32"></a>3.2.2 Aktivierung der E-ID Anbindung</h4> +<p>Dieser Abschnitt behandelt den E-ID Proxy Mode von MOA-ID welcher mit der Version 4.0 eingeführt wurde. Ist der E-ID Proxy Mode aktiviert ändert sich das mögliche Attribut-Set welches Online Applikation zur Verfügung gestellt wird, da der Benutzer an das E-ID System zur Authentifizierung weitergeleitet wird. Als Attributbezeichner in der nachfolgenden Liste werden die Attributebezeichnungen aus dem PVP Attribute-Profil verwendet. Ein Mapping auf OpenID-Connect Scopes oder SAML1 Attribute finden Sie in Kapitel <a href="../protocol/protocol.html#allgemeines_attribute">Protokolle</a>. </p> <p>Folgende Attribute stehen nicht mehr zur Verfügung:</p> <ul> <li>EID-SOURCE-PIN (urn:oid:1.2.40.0.10.2.1.1.261.36)</li> @@ -1598,28 +1670,11 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der <th width="50%">Beschreibung</th> </tr> <tr> - <td><span id="wwlbl_loadOA_targetConfig_eidDemoActive">Demo-Modus aktivieren</span></td> + <td><span id="wwlbl_loadOA_targetConfig_eidDemoActive">E-ID aktivieren</span></td> <td><p> </p></td> <td align="center"> </td> <td align="center">X</td> - <td>Aktiviert den Demo-Modus für die E-ID in dieser Online Applikation. </td> - </tr> - <tr> - <td><span id="wwlbl_loadOA_targetConfig_foreignbPKTargets">Sektoren für Fremd-bPKs</span></td> - <td>wbpk+FN+468924i,BMI+T1</td> - <td align="center"> </td> - <td align="center">X</td> - <td><p>Eine CSV Liste von Bereichen für welche die Online Applikation verschlüsselte Fremd-bPKs benötigt. </p> - <p><strong>Hinweis:</strong> Da es sich hierbei nur um eine Demo handelt muss <a href="#basisconfig_moa_id_auth_others">das Schlüsselmaterial für die Verschlüsselung in MOA-ID hinterlegt werden</a>.</p></td> - </tr> - <tr> - <td><span id="wwlbl_loadOA_targetConfig_additionalbPKTargets">Sektoren für weitere bPKs</span></td> - <td><p>urn:publicid:gv.at:cdid+T1,</p> - <p>urn:publicid:gv.at:wbpk+FN+468924i</p></td> - <td align="center"> </td> - <td align="center">X</td> - <td><p>Eine CSV Liste von Bereichen für welche die Online Applikation bPKs aus anderen Bereichen benötogt.</p> - <p><strong>Hinweis:</strong> Die Angabe der Bereiche erfolgt mit dem vollständigen Bereichsidentifier inkl. Prefix.</p></td> + <td>Aktiviert die Weiterleitung an den E-ID für diese Online Applikation. </td> </tr> </table> <p> </p> |