diff options
Diffstat (limited to 'id.server/doc/moa_id/id-admin_2.htm')
| -rw-r--r-- | id.server/doc/moa_id/id-admin_2.htm | 1417 |
1 files changed, 0 insertions, 1417 deletions
diff --git a/id.server/doc/moa_id/id-admin_2.htm b/id.server/doc/moa_id/id-admin_2.htm deleted file mode 100644 index aa7809425..000000000 --- a/id.server/doc/moa_id/id-admin_2.htm +++ /dev/null @@ -1,1417 +0,0 @@ -<html> -<head> - <title>MOA ID-Administration</title> - <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" /> - <meta content="heinz.rosenkranz@brz.gv.at" name="author"/> - -<style type="text/css"> - body { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; } - td { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; } - th { font-family:"Verdana", "Arial"; font-size:10pt; font-weight:bold; color:#d8d8d8; background:#505050} - li { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px } - ul { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px } - tt { font-size:9pt; color:#505060; } - #titel { font-family:"Verdana", "Arial"; font-size:18pt; color:#505060; } - #subtitel { font-family:"Verdana", "Arial"; font-size:12pt; color:#505060; font-weight:bold; } - #slogan { font-family:"Verdana", "Arial"; font-size:8pt; color:#808090; text-align:justify; width:160px } - #block { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; text-align:justify } - #klein { font-family:"Verdana", "Arial"; font-size:9pt; color:#505060; margin-top:3px } - #info { font-family:"Verdana", "Arial"; font-size:8pt; color:#505060; padding:3px; border:solid 1px #c0c0c0 } - #infolist { font-family:"Verdana", "Arial"; font-size:8pt; color:#505060; } - a:link {color:#000090} - a:visited {color:#000090} - a:hover {color:#c03030} - a {text-decoration: none} -</style> - -<script language="JavaScript"> -<!-- -function goWin(url) { - Fenster=window.open(url,"smallWin","toolbar=0,location=0,directories=0,status=0,menubar=0,resizable=yes,scrollbars=yes,width=500,height=480,top=20,screenY=0,left=20,screenX=0"); - window.setTimeout("showWin()",300); -} -function showWin() { Fenster.focus(); } -// --> -</script> -</head> - -<body bgcolor="#FFFFFF" > -<div style="width:650px"> - -<!-- Projekt-Logo --> -<div style="height:42px; font-size:16pt; color:#b0b8c0; background:#003050"> - Module für Online-Applikationen -</div> -<div style="margin-left:8px; margin-top:3px; font-size:8pt; color:#707070; "> -<!-- Development Center der BRZ GmbH, A-Trust und IAIK Graz -->  -</div> -<div style="margin-top:-65px; text-align:right; font-size:8pt; font-weight:bold; color:#d04040;" > -Projekt <span style="font-size:48pt; ">moa</span>  -</div> -<br /> - -<!-- First Section with Navigation --> -<table width="650" border="0" cellpadding="10" cellspacing="0"> -<tr> -<td width="170" valign="top"> -<div style="font-weight:bold; margin-top:12px">MOA-ID</div><br /> -<div id="klein"><a href="id-admin.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> - <b> übersicht</b></a></div> -<div id="klein"><a href="id-admin_1.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> - <b> Basis-Installation</b></a></div> -<div id="klein"><img src="../moa_images/select.gif" border="0" width="13" height="14" /> - <b> Konfiguration </b></div> -<div id="klein"><a href="id-admin_3.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> - <b> Optionale<br />    Komponenten</b></a></div> -<br /> -<div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" /> - <b> Zurück</b></a></div> -<br /><br /> -<div id="slogan"> -<a href="#moaid-konfiguration"><b>Konfiguration<br />von MOA-ID</b></a> -<br /><br /> -<a href="examples/conf/MOA-ID-Configuration.xml" target="_new">Konfigurationsdatei</a> -<br /><br /> -<b>Parameter-übersicht</b><br /> -<a href="#ConnectionParameter">ConnectionParameter</a><br /> -<a href="#AuthComponent">AuthComponent</a><br /> -<a href="#BKUSelection" > BKUSelection</a><br /> -<a href="#SecurityLayer"> SecurityLayer</a><br /> -<a href="#MOA-SP"> MOA-SP</a><br /> -<a href="#IdentityLinkSigners"> IdentityLinkSigners</a><br /> -<a href="#VerifyInfoboxesAuth"> VerifyInfoboxes</a><br /> -<a href="#ProxyComponent">ProxyComponent</a><br /> -<a href="#OnlineApplication">OnlineApplication</a><br /> -<a href="#OnlineApplication/AuthComponent"> AuthComponent</a><br /> -<a href="#OnlineApplication/ProxyComponent"> ProxyComponent</a><br /> -<a href="#ChainingModes">ChainingModes</a><br /> -<a href="#TrustedCACertificates">TrustedCACertificates</a><br /> -<a href="#GenericConfiguration">GenericConfiguration</a><br /> -<br /> -<a href="#oa-config"><b>Konfiguration<br />der Online-Applikation</b></a><br /> -<br /> -<b>Parameter-übersicht</b><br /> -<a href="#LoginType">LoginType</a><br /> -<a href="#ParamAuth">ParamAuth</a><br /> -<a href="#Parameter"> ParamAuth/Parameter</a><br /> -<a href="#BasicAuth">BasicAuth</a><br /> -<a href="#HeaderAuth">HeaderAuth</a><br /> -<a href="#Header"> HeaderAuth/Header</a><br /> -<br /> -<a href="#sp-config"><b>Konfiguration<br />von MOA-SP</b></a><br /> -<br /> -<a href="#verifytransformsInfoProfile">VerifyTransformsInfoProfile</a><br /> -<a href="#trustProfile">TrustProfile</a><br /> -<a href="#certstore">Certstore</a><br /> -<br /> -<a href="#online-config"><b>änderung der Konfig. <br />während des Betriebs</b></a><br /> - -<br /> -</div> - -</td> - - <td valign="top"> - <div id="titel">Konfiguration von MOA ID v.1.4</div> - <div id="moaid-konfiguration" /> - <p id="subtitel">Konfiguration von MOA ID v.1.4</p> - <p id="block"> Die Konfiguration von MOA ID wird mittels einer XML-basierten - Konfigurationsdatei, die dem Schema - <a href="../MOA-ID-Configuration-1.4.xsd" target="_new">MOA-ID-Configuration-1.4.xsd</a> - entspricht, durchgeführt. - <p /> Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment - der Web-Applikation in Tomcat</a> beschrieben. - <p /> Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. - <a href="examples/conf/MOA-ID-Configuration.xml" target="_new">MOA-ID-Configuration.xml</a> - zeigt ein Beispiel für eine umfassende Konfigurationsdatei. </p> - <p>Enthält die Konfigurationsdatei relative Pfadangaben, werden - diese relativ zum Verzeichnis, in dem sich die MOA-ID Konfigurationsdatei - befindet, interpretiert.<br> - </p> - <div id="ConnectionParameter" /> - <p id="block"> <b>ConnectionParameter</b> <br /> - Das Element <tt>ConnectionParameter</tt> enthält Parameter, - die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten - benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei - auf und wird daher vorab detailliert beschrieben. <br /> - <br /> - Das Attribut <tt>URL</tt> enthält die URL der Komponente zu - der die Verbindung aufgebaut werden soll. Wird das Schema <tt>https</tt> - verwendet, können die Kind-Elemente <tt>AcceptedServerCertificates</tt> - und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt> - verwendet müssen keine Kind-Elemente angegeben werden bzw. - werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt. - <br /> - <br /> - Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server - eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element - <tt>ClientKeyStore</tt> spezifiziert werden. Im Element <tt>ClientKeyStore</tt> - wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei) - angegeben. Diesem Keystore wird der private Schlüssel für - die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen - des privaten Schlüssels wird im Attribut <tt>ClientKeyStore/@password</tt> - konfiguriert.<br /> - Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung - für MOA-ID darstellt, werden clientseitig nur die folgenden - Cipher Suites unterstützt:<br/> - <ul> - <li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li> - <li><tt>SSL_RSA_WITH_RC4_128_MD5</tt></li> - <li><tt>SSL_RSA_WITH_3DES_EDE_CBC_SHA</tt></li> - </ul> - Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname - (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem - die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In - diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser - Parameter wird lediglich überprüft ob ein Zertifikatspfad - zu den im Element <tt><TrustedCACertificates></tt> angegebenen - Zertifikaten erstellt werden kann. Falls dies nicht möglich ist, - kommt es zu einem Fehlerfall. - <p></p> - <div id="AuthComponent" /> - <p id="block"> <b>AuthComponent</b> <br /> - <tt>AuthComponent</tt> enthält Parameter, die nur die MOA-ID - Authentisierungskomponente betreffen. Das Element ist optional - und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID - Authentisierungskomponente installiert wird. <br /> - <br /> - Das Element <tt>AuthComponent</tt> hat fünf Kind-Elemente: - <ul> - <li><tt>BKUSelection</tt> (optional)</li> - <li><tt>SecurityLayer</tt></li> - <li><tt>MOA-SP</tt></li> - <li><tt>IdentityLinkSigners</tt></li> - <li><tt>VerifyInfoboxes</tt> (optional ab Version 1.4)</li> - </ul> - <p></p> - <div id="BKUSelection" /> - <p id="block"> <b>AuthComponent/BKUSelection</b> <br /> - Das optionale Element <tt>BKUSelection</tt> enthält Parameter - zur Nutzung eines Auswahldienstes für eine Bürgerkartenumgebung - (BKU). Wird das Element nicht angegeben, dann wird die lokale - Bürgerkartenumgebung auf <tt>http://localhost:3495/http-security-layer-request</tt> - verwendet. <br /> - <br /> - Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche - Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterstützt - die Werte <tt>HTMLComplete</tt> (vollständige HTML-Auswahl) - und <tt>HTMLSelect</tt> (HTML-Code für Auswahl) [<a href="../bku-auswahl.20030408.pdf">"Auswahl - von Bürgerkartenumge-bungen"</a>, Arno Hollosi]. <br /> - <br /> - Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die - Verbindung zum Auswahldienst (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>), - jedoch kann das Kind-Element <tt>ClientKeyStore</tt> nicht angegeben - werden. </p> - <div id="AuthTemplates" /> - <p id="block"> <b>AuthComponent/Templates</b> <br /> - Das optionale Element <tt>Templates</tt> kann genau einmal vorkommen, um - das Aussehen der Seiten "Auswahl der Bürgerkartenumgebung" sowie - "Anmeldung mit Bürgerkarte" anzupassen. Die hier - spezifizierten (globalen) Templates haben Priorität gegenüber Templates, - die in der aufrufenden URL (vgl. <a href="id-anwendung_1.htm" target="_new">Aufruf von MOA-ID-AUTH</a>) - übergeben werden, haben jedoch Nachrang gegenüber in - der Konfigurationsdatei für eine Online-Applikation individuell definierte (lokale) - Templates (siehe <a href="#OnlineApplication/AuthComponent/Templates" target="_new"> - OnlineApplication/AuthComponent/Templates</a>). - Das heißt, sind in der Konfigurationsddatei für eine Online-Applikation lokale - Templates definiert (Element <tt>OnlineApplication/AuthComponent/Templates</tt>), so werden - die als global spezifizierten Templates (<tt>AuthComponent/Templates</tt>) für diese - OnlineApplikation ignoriert, jedoch für alle anderen Online-Applikationen - verwendet. Templates in der aufrufenden URL werden demnach nur mehr dann - herangezogen, wenn in der Konfigurationsdatei weder globale (für alle - Online-Applikationen gültig) noch lokale (Templates je Online-Applikation) - spezifiziert sind.<br> - Das <tt>Templates</tt>-Element hat die zwei Kindelemente - <tt>BKUSelectionTemplate</tt> und <tt>Template</tt>. Jedes dieser - beiden Elemente kann genau einmal vorkommen oder fehlen. - Das Kindelement <tt>BKUSelectionTemplate</tt> spezifiziert ein Template - zur Gestaltung der Seite "Auswahl der Bürgerkartenumgebung", - während das Kindelement <tt>Template</tt> die Seite - "Anmeldung mit Bürgerkarte" referenziert. - Beide Elemente haben genau ein Attribut namens <tt>URL</tt>, - das die Lage des Templates im Form einer URL beschreibt. - Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die - MOA-ID Konfigurationsdatei befindet, interpretiert.<br> - Im folgenden Beispiel werden zwei Templates im Verzeichnis - CATALINA_HOME/conf/moa-id/templates referenziert: - <br> - <pre> -<Templates> - <BKUSelectionTemplate URL="templates/SampleBKUSelectionTemplate.html"/> - <Template URL="templates/SampleTemplate.html"/> -</Templates></pre> - - <br> - Richtlinien zur Struktur der beiden Templates können der - MOA-ID-Spezifikation bzw. dem Abschnitt - <a href="id-anwendung_1.htm" target="_new">Aufruf von MOA-ID-AUTH</a> - dieses Handbuches entnommen werden. - - </p> - </div> - <div id="SecurityLayer" /> - <p id="block"> <b>AuthComponent/SecurityLayer</b> <br /> - Das Element <tt>SecurityLayer</tt> enthält Parameter - zur Nutzung des Security-Layers. <br /> - <br /> - Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine - Transformation, die für die Erstellung der Signatur des - AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt> - des Security-Layers integriert werden muss. Mehrere unterschiedliche - Implementierungen des Security-Layer können durch die - Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterstützt - werden. <br /> - <br /> - Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf - eine Datei, die das globale Element <tt>TransformsInfo</tt> - vom Typ <tt>TransformsInfo</tt> enthält. Die Angabe erfolgt - relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser - Datei muss UTF-8 sein. <br /> - <br /> - <a href="examples/TransformsInfoAuthBlock.txt">Beispiel für - eine TransformsInfo-Datei</a> </p> - <div id="MOA-SP" /> - <p id="block"> <b>AuthComponent/MOA-SP</b> <br /> - Das Element <tt>MOA-SP</tt> enthält Parameter zur Nutzung - von MOA-SP. MOA-SP wird für die überprüfung - der Signatur der Personenbindung und des AUTH-Blocks verwendet. - <br /> - <br /> - Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben, - dann wird MOA-SP über das Webservice angesprochen.</p> - <p id="block">Wird das Kind-Element <tt>ConnectionParameter</tt> - nicht angegeben so wird eine MOA-ID beiligende Version von - MOA-SP direkt über das Java-API angesprochen. In diesem - Fall muss das System-Property auf die verwendete Konfigurationsdatei - von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei - ist in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml</tt> - enthalten. </p> - </div> - </div> - </div> - </div> - </div> - </div> - <div id="moaid-konfiguration" /> - <div id="ConnectionParameter" /> - <div id="AuthComponent" /> - <div id="BKUSelection" /> - <div id="SecurityLayer" /> - <div id="MOA-SP" /> - <div id="verifytransformsInfoProfile" /> - <p><b><i>Hinweis:</i></b><i> MOA-SP muss entsprechend konfiguriert - werden - siehe hierzu Abschnitt <a href="#sp-config">Konfiguration - von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP - finden sie in der Distribution von MOA-SP/SS beiligenden - Dokumentation im Abschnitt 'Konfiguration'.<br> - </i><br /> - Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt> - spezifiziert eine TrustProfileID, die für den <tt>VerifyXMLSignatureRequest</tt> - zur Überprüfung der Signatur der Personenbindung - verwendet werden muss. Diese TrustProfileID muss beim - verwendeten MOA-SP Modul konfiguriert sein.<br /> - <br /> - Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt> - und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt> - spezifizieren eine TrustProfileID und eine ID für - ein Transformationsprofil, die für den <tt>VerifyXMLSignatureRequest</tt> - zur überprüfung der Signatur des Auth-Blocks - verwendet werden müssen. Diese TrustProfileID muss - beim verwendeten MOA-SP Modul konfiguriert sein.</p> - </div> - </div> - </div> - </div> - </div> - </div> - </div> - <div id="moaid-konfiguration" /> - <div id="AuthComponent" /> - <div id="IdentityLinkSigners" /> - <p id="block"> <b>AuthComponent/IdentityLinkSigners</b> - <br /> - Dieses Element gibt an von welchen Signatoren die Signatur - des IdentityLink erstellt werden musste damit der IdentityLink - akzeptiert wird. Für jeden Signator muss der <tt>X509SubjectName</tt> - nach RFC 2253 spezifiziert werden. <br /> - <br /> - <a href="examples/IdentityLinkSigners.txt">Beispiel</a> - <br /><br /> - <b>Anmerkung:</b> Ab Version 1.4 ist dieses Element nicht mehr verpflichtend notwendig, da die - Berechtigung von Zertifikaten zum Signieren von Personenbindungen ab Februar - 2007 über die Zertifikatseigenschaft "Eigenschaft zur Ausstellung von Personenbindungen" - (OID: 1.2.40.0.10.1.7.1) geprüft wird. - Der Namens-Check des alten Zertifikats wird fix in MOA-ID integriert, sodass das - <tt>IdentityLinkSigners</tt>-Element in der Konfiguration überflüssig wird. - - <br /> - </p> - <div id="VerifyInfoboxesAuth" /> - <p id="block"> <b>AuthComponent/VerifyInfoboxes</b> - <br /> - Ab Version 1.4 bietet MOA-ID die Möglichkeit einer erweiterten Infobox-Validierung, - das heißt, es können neben der Personenbindung auch weitere ausgelesene Infoboxen - validiert werden. Die für die Validierung der Infoboxen notwendigen Parameter - können über die Konfigurationsdatei durch das <tt>VerifyInfoboxes</tt> - Element sowohl <a href="#VerifyInfoboxesAuth">global</a> als auch - <a href="#OnlineApplication/AuthComponent/VerifyInfoboxes">lokal</a> - je Online-Applikation gesetzt werden. MOA-ID übergibt diese Parameter der - Applikation, die für die Verifikation des Inhaltes der jeweilgen von der BKU - übermittelten Infobox verantwortlich ist. Im Folgenden wird eine derartige - Applikation als <tt>Prüfapplikation</tt> bezeichnet. - <br /> - Das <tt>Verifyinfoboxes</tt> Element ist optional und kann fehlen, - wenn keine Infoboxen außer der der Personenbindung validiert werden müssen. - <br /> - Das <tt>VerifyInfoboxes</tt>-Element hat folgende Kind-Elemente: - <ul> - <li id="DefaultTrustProfileVI"><tt>DefaultTrustProfile</tt>: Dieses optionale - Element kann nur einmal vorkommen und spezifiziert ein Trust-Profil, das - von einer <tt>Prüfapplikation</tt> zur Validierung einer Infobox - herangezogen werden kann, wenn für diese Infobox kein eigenes - <a href="#TrustProfileVI">Trust-Profil</a> gesetzt wurde. Es hat genau ein - Kindelement namens <tt>TrustProfileID</tt>, das die ID eines in MOA-SP - konfigurierten Trust-Profiles enthält. - <br /> - <b>Anmerkung:</b> Das Trust-Profil für die - <a href="#trustProfile">Personenbindung</a> darf <b>nicht</b> - zur Validierung anderer Infoboxen verwendet werden. Das Trust-Profil für - die <a href="#trustProfile">Bürgerkarte</a> <b>soll</b> nur dann zur Validierung - anderer Infoboxen verwendet werden, wenn die zur Verifikation der Zertifikate benötigten - Wurzelzertifikate bereits im entsprechenden Trust-Store enthalten sind. (vgl. - MOA-ID Spezifikation, Abschnitt 4.6). - </li> - <li id="InfoboxVI"><tt>Infobox</tt>: Dieses Element kann beliebig oft vorkommen - und kapselt die Parameter, die für die Validierung einer Infobox an die - jeweilige Prüfapplikation übergeben werden. - <br /> - Das <tt>Infobox</tt>-Element hat folgende Attribute: - <ul> - <li id="IdentifierVI"><tt>Identifier:</tt> Dieses Attribut muss vorhanden sein und gibt - den <tt>Namen</tt> der Infobox an. Er muss dabei exakt dem <tt>Bezeichner</tt> - der jeweiligen zu validierenden Infobox aus der BKU entsprechen, also - zum Beispiel <tt>Mandates</tt> für die <tt>Vollmachten</tt>-Infobox oder - <tt>EHSPToken</tt> für die <tt>GDAToken</tt>-Infobox. - <br /> - </li> - <li id="requiredVI"><tt>required:</tt> Dieses Attribut vom Typ - <tt>boolean</tt> bestimmt, ob MOA-ID den Inhalt der entsprechenden Infobox - für die Anmeldung zwingend benötigt. Ist es auf <tt>true</tt> - gesetzt, und wird der entsprechende Infobox-Inhalt nicht von der BKU - übermittelt, so bricht MOA-ID den Anmeldevorgang mit einer Fehlermeldung - ab. - <br /> - Fehlt dieses Attribut, so wird als Defaultwert <tt>false</tt> gesetzt. - <br /> - </li> - <li id="provideStammzahlVI"><tt>provideStammzahl:</tt> Dieses Attribut vom Typ - <tt>boolean</tt> bestimmt, ob die Prüfapplikation die Stammzahl aus der - Personenbindung erhalten darf. Fehlt dieses Attribut, so wird als Defaultwert - <tt>false</tt> gesetzt. - <br /> - <b>Anmerkung</b>: Das Attribut steht in keinem Zusammenhang zum gleichnamigen - Attribut <a href="#provideStammzahlOA">OnlineApplication/AuthComponent/@provideStammzahl</a>, - das angibt ob die Stammzahl an die <i>Online-Applikation</i> weitergegeben werden darf. - </li> - <li id="provideIdentityLinkVI"><tt>provideIdentityLink:</tt> Dieses Attribut vom Typ - <tt>boolean</tt> bestimmt, ob die Prüfapplikation die Personenbindung erhalten - soll. Hat es den Wert <tt>true</tt>, so wird ein Klone des Wurzel-Elements der Personenbindung - an die Prüfapplikation übergeben, wobei zu beachten ist, dass die - darin enthaltene Stammzahl auf einen leeren String gesetzt wird, falls das - Attribut <a href="#provideStammzahlVI">provideStammzahl</a> auf <tt>false</tt> - gesetzt ist. - Fehlt das <tt>provideIdentityLink</tt>-Attribut, so wird als Defaultwert <tt>false</tt> gesetzt. - <br /> - <b>Anmerkung 1</b>: Das Attribut steht in keinem Zusammenhang zum gleichnamigen - Attribut <a href="#provideIdentityLinkOA">OnlineApplication/AuthComponent/@provideIdentityLink</a>, - das angibt ob die <i>Online-Applikation</i> die Personenbindung erhalten - soll. - <br /> - <b>Anmerkung 2</b>: Der Prüfapplikation werden defaultmäßig der Vorname, - der Familienname, das Geburtsdatum, der Typ der Stammzahl, die Stammzahl - (konfigurierbar) und die öffentlichen Schlüssel aus der Personenbindung - übergeben. Das Attribut <tt>provideIdentityLink</tt> sollte deshalb - wirklich nur dann auf <tt>true</tt> gesetzt werden, wenn von der - Prüfapplikation noch andere Daten aus der Personenbindung benötigt - werden. - </li> - </ul> - Das <tt>Infobox</tt>-Element hat folgende Kind-Elemente: - <ul> - <li id="FriendlyNameVI"><tt>FriendlyName</tt>: Das Element ist optional und - enthält einen Namen, der von MOA-ID zur Anzeige von, die jeweilige Infobox - betreffende, Fehlermeldungen im Browser verwendet wird. Im Regelfall wird man - hier den deutschen Namen der Infobox setzen, also z.B. <tt>Vollmachten</tt> - oder <tt>Stellvertretungen</tt> für die <tt>Mandates</tt>-Infobox oder - <tt>GDAToken</tt> für die <tt>EHSPToken</tt>-Infobox. - <br /> - Fehlt dieses Element, so wird für Fehlermeldungen der Wert des - <a href="#IdentifierVI">Identifier</a>-Attributes verwendet. - </li> - <li id="TrustProfileVI"><tt>TrustProfileID</tt>: Das Element ist optional und - bezeichnet ein in MOA-SP konfiguriertes Trust-Profil, das von MOA-ID - für die Validierung der Infobox verwendet wird. - Dabei ist wieder zu beachten, dass das Trust-Profil für die - <a href="#trustProfile">Personenbindung</a> <b>nicht</b> - zur Validierung anderer Infoboxen verwendet werden darf, und das Trust-Profil für - die <a href="#trustProfile">Bürgerkarte</a> nur dann zur Validierung - anderer Infoboxen verwendet werden <b>soll</b>, wenn die zur Verifikation der - Zertifikate benötigten Wurzelzertifikate bereits im entsprechenden - Trust-Store enthalten sind. (vgl. MOA-ID Spezifikation, Abschnitt 4.6). - <br />Fehlt dieses Element, so wird das - <a href="#DefaultTrustProfileVI">Default-Trust-Profil</a> - verwendet. Ist dieses auch nicht konfiguriert, so wird für die - Validierung der entsprechenden Infobox keine Zertifikatsprüfung - notwendig sein. - </li> - <li id="ValidatorClassVI"><tt>ValidatorClass</tt>: Das Element ist optional - und bezeichnet den Namen der Klasse (voller Package-Name), die von MOA-ID - zur Validierung der Infobox geladen werden soll. Fehlt dieses Element, - so wird MOA-ID versuchen, eine Default-Klasse zu laden, deren Namen aus - dem <a href="#IdentifierVI">Identifier</a>-Attribut der Infobox abgeleitet - wird (vgl. MOA-ID-Spezifikation, Abschnitt 4.7.2.3, - <tt>Zuordnung eines InfoboxReadResponse zu einer implementierenden Klasse</tt>). - <br /> - <b>Anmerkung</b>: Im Regelfall wird dieses Element fehlen, da bei der - Entwicklung einer Infobox-Prüfapplikation der Default-Klassennamen - verwendet werden sollte. Nur wenn es verschiedene Prüfapplikationen - für eine Infobox gibt, wird man das <tt>ValidatorClass</tt> - verwenden, um eine andere als die Default-Applikation zu laden. - </li> - <li id="SchemaLocationsVI"><tt>SchemaLocations</tt>: Das Element ist optional - und referenziert XML-Schemas, die von der Prüfapplikation zum - validierenden Parsen von Infoboxen verwendet werden können. Das - Element hat beliebig viele <tt>Schema</tt>-Kindelemente, dessen Attribute - <tt>namespace</tt> und <tt>schemaLocation</tt> jeweils die Namespace-URI - und den Ort (URI) des entsprechenden Schemas bezeichnen. Relative URIs im - <tt>schemaLocation</tt>-Attribut sind dabei relativ zum Verzeichnis der - MOA-ID-Konfigurationsdatei zu interpretieren. - <br /> - Beispiel: - <br /> - <pre> - <SchemaLocations> - <Schema namespace="http://ns1.ns1" schemaLocation="schemas/ns1.xsd"/> - <Schema namespace="http://ns2.ns2" schemaLocation="schemas/ns2.xsd"/> - </SchemaLocations> - </pre> - Weitere Möglichkeiten zur Übergabe von XML-Schemas an die - Prüfapplikation können in der MOA-ID-Spezifikation im - Abschnitt 4.7.2, <tt>Erweiterte Infoboxüberprüfung</tt>, nachgelesen werden. - </li> - <li id="ApplicationSpecificParametersVI"><tt>ApplicationSpecificParameters</tt>: - Das Element ist optional und nimmt Infobox-kontext-spezifische Parameter - auf. - <br /> - Da MOA-ID die zusätzlichen zur Personenbindung abgefragten Infoboxen - (bzw. deren Inhalte) nicht a priori kennt, ist es unmöglich vorherzusehen, - welche Parameter eine Prüfapplikation zum Validieren einer Infobox - benötigt. Die Konfiguration sieht daher das Element - <tt>ApplicationSpecificParameters</tt> vor, um einer bestimmten - Prüfapplikation kontext spezifische Parameter zu übermitteln. - Dieses Element wird vollständig an die Prüfapplikation - weitergegeben, und es obliegt der Prüfapplikation die Kindelemente - des <tt>ApplicationSpecificParameters</tt>-Element zu extrahieren und zu - interpretieren. - <br /> - Beispiel: - <br /> - <pre> - <ApplicationSpecificParameters> - <Parameter1>content1</Parameter1> - <Parameter2>content2</Parameter2> - <Parameter3> - <Parameter3a>content3a</Parameter3a> - <Parameter3b>content3b</Parameter3b> - </Parameter3> - </ApplicationSpecificParameters> - </pre> - </li> - </ul> - </li> - </ul> - <br /> - Eine Beispielkonfiguration finden sie am Ende das Abschnitts - <a href="#VerifyInfoboxesOA">OnlineApplication/AuthComponent/VerifyInfoboxes</a>. - <br /> - <br /> - </p> - </div> - - <div id="ProxyComponent" /> - <p id="block"> <b>ProxyComponent</b> <br /> - <tt>ProxyComponent</tt> enthält Parameter, die - nur die MOA-ID Proxykomponente betreffen. Das Element - ist optional und muss nicht verwendet werden, wenn auf - dem Server keine MOA-ID Proxykomponente installiert - wird. <br /> - <br /> - Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element - <tt>AuthComponent</tt>, das die Verbindung zur Authentisierungs-komponente - beschreibt. <br /> - <br /> - Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente - über ein Webservice auf, dann muss das Element - <tt>ConnectionParameter</tt> spezifiziert werden. <br /> - <br /> - Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente - über das API auf, dann wird das Element <tt>ConnectionParameter</tt> - nicht spezifiziert. </p> - <div id="OnlineApplication" /> - <p id="block"> <b>OnlineApplication</b> <br /> - Für jede Online-Applikation, die über MOA-ID - authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>. - Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, - teils die MOA-ID Proxykomponente, teils beide. <br /> - <br /> - Das ab Version 1.3 optionale Attribut <tt>OnlineApplication/@type</tt> - spezifiziert den Typ der OnlineApplikation und kann - die Werte <tt>publicService</tt> für eine Applikation - aus dem öffentlichen Bereich und <tt>businessService</tt> - für eine Anwendung aus dem privatwirtschaftlichen Bereich annehmen. - Ab Version 1.4 kann im Modus <tt>businessService</tt> ein zusätzliches - logisches Attribut <tt>OnlineApplication/@calculateHPI</tt> angegeben werden. - Dadurch wird im Falle von <tt>calculateHPI="true"</tt> im privatwirtschaftlichen - Bereich zur Identifikation der Health Professional Identifier HPI anstatt des wbPKs (siehe - <a href="#OnlineApplication/AuthComponent/IdentificationNumber"> - OnlineApplication/AuthComponent/IdentificationNumber</a>) berechnet - und zur Anmeldung weiterverwendet. - Ist dieses Attribut nicht gesetzt, so wird der Typ <tt>publicService</tt> - vorausgesetzt. <br /> - <br /> - Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt> - entspricht dem URL-Präfix der nach außen - sichtbaren Domäne der Online-Applikation, welcher - von der MOA-ID Proxykomponente durch den URL-Präfix - der wirklichen Domäne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) - ersetzt wird. Es dient als Schlüssel zum Auffinden - der Konfigurationsparameter zur Online-Applikation. - </p> - <p id="block">Das Attribut <tt>OnlineApplication/@keyBoxIdentifier</tt> - gibt das Schlüsselpaar an, welches von der Bürgerkartenumgebung - zum Signieren des Auth Blocks verwendet wird. Mögliche - Werte: <tt>CertifiedKeypair </tt>sowie<tt> SecureSignatureKeypair.<br> - </tt><br /> - Das Element <tt>OnlineApplication</tt> hat optional - zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>. - </p> - <div id="OnlineApplication/AuthComponent" /> - <p id="block"> <b>OnlineApplication/AuthComponent</b> - <br /> - Das Element <tt>OnlineApplication/AuthComponent</tt> - muss verwendet werden wenn auf dem Server die Authentisierungskomponente - installiert wird. Es enthält Parameter, die - das Verhalten der Authentisierungskomponente bezüglich - der Online-Applikation konfiguriert. <br /> - <br /> - Das optionale Attribut <tt>slVersion</tt> definiert die Version des - verwendeten SecurityLayer und damit den Namespace aller - Requests, die von MOA-ID an die Bürgerkartenumgebung - geschickt werden. Dieses Attribut kann entweder den Wert <tt>1.1</tt> - oder <tt>1.2</tt> annehmen. Fehlt das Attribut, so wird als - Defaultwert <tt>1.1</tt> gesetzt. - <br />Wurde als Typ der Online-Applikation - der Wert <tt>businessService</tt> (vgl. Attribut <tt>OnlineApplication/@type</tt>) - spezifiziert, so wird das Attribut <tt>slVersion</tt> ignoriert - und immer der Wert <tt>1.2</tt> verwendet, da die für - Applikationen aus dem privatwirtschaftlichen Bereich notwendige - Berechnung des <tt>wirtschaftsbereichsspezifischen Personenkennzeichens</tt> - (<tt>wbPK</tt>) erst ab SecurityLayer Version <tt>1.2</tt> möglich ist. - <br /><br /> - Das Attribut <tt id="provideStammzahlOA">provideStammzahl</tt> bestimmt, - ob die Stammzahl in den Anmeldedaten aufscheint - oder ob der Wert ausgeblendet (d.h. auf den Leerstring gesetzt) - wird. Die Attribute <tt>provideAUTHBlock</tt> und - <tt id="provideIdentityLinkOA">provideIdentityLink</tt> steuern, ob die - Anmeldedaten den Auth-Block bzw. die Personenbindung enthalten. - Ab Version 1.3 kann das Attribut <tt>provideCertificate</tt> - verwendet werden, um das Signatorzertifikat in die - Anmeldedaten aufzunehmen. - Alle Attribute sind optional und haben den Default-Wert - <tt>false</tt>. - <br /> - <b>Anmerkung</b>: Das Attribut <tt>provideStammzahl</tt> steht in keinem - Zusammenhang zum gleichnamigen Attribut - <a href="#provideStammzahlVI">VerifyInfoboxes/@provideStammzahl</a>, - das angibt ob die Stammzahl an eine <i>Prüfapplikation</i> weitergegeben - werden darf. - <b>Anmerkung</b>: Das Attribut <tt>provideIdentityLink</tt> steht in keinem - Zusammenhang zum gleichnamigen Attribut - <a href="#provideIdentityLinkVI">VerifyInfoboxes/@provideIdentityLink</a>, - das angibt ob die Personenbindung an eine <i>Prüfapplikation</i> - weitergegeben werden soll. - <br /> - <br /> - </p> - <div id="OnlineApplication/AuthComponent/IdentificationNumber" /> - <p id="block"> <b>OnlineApplication/AuthComponent/IdentificationNumber</b> - <br /> - Das <tt>wirtschaftsbereichsspezifische Personenkennzeichen</tt> (<tt>wbPK</tt>) - wird aus der auf der Bürgerkarte gespeicherten Stammzahl des Bürgers - und der Stammzahl des Wirtschaftsunternehmens berechnet. - Laut <a href="http://reference.e-government.gv.at/E-Government-Gesetz.394.0.html" target="_new">E-Governmentgesetz</a> - darf die <i>Errechnung eines wbPK aus der Stammzahl nicht beim Auftraggeber eines - privaten Bereichs durchgeführt werden</i> (vgl. E-GovGesetz §12(1).4), und muss deshalb - an die Bürgerkartenumgebung ausgelagert werden. - Das <tt>OnlineApplication/AuthComponent/IdentificationNumber</tt> Element - wird nun verwendet, um die Stammzahl des Wirtschaftsunternehmens zu spezifizieren, - welche in weiterer Folge von MOA-ID an die Bürgerkartenumgebung übergeben - wird.<br /> Dieses Element muss bei privatwirtschaftlichen Applikationen - vorhanden sein und wird ignoriert, falls es im Kontext von Anwendungen aus - dem öffentlichen Bereich verwendet wird. <br /> - Das Element hat genau eines der folgenden möglichen Kindelemente - aus dem <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a> - Namespace, die als einzigen Inhalt die jeweilige Stammzahl des Unternehmens enthalten: - <ul> - <li> - Das Element <tt>pr:Firmenbuchnummer</tt> enthält als einzigen Inhalt - die Firmenbuchnummer des Unternehmens. - </li> - <li> - Das Element <tt>pr:Vereinsnummer</tt> enthält als einzigen Inhalt - die Vereinsregisternummer des Unternehmens. - </li> - <li> - Das Element <tt>pr:ERJPZahl</tt> enthält als einzigen Inhalt eine - Zahl aus dem Ergänzungsregister für nicht-natürliche Personen (CorporateBody). - </li> - <li> - Das Element <tt>pr:ZMRzahl</tt> enthält als einzigen Inhalt eine - Stammzahl einer natürlichen in Österreich meldepflichtigen Person. - </li> - </ul> - - Die Stammzahl ist jeweils ohne Präfix anzugeben, also wird zum Beispiel - die Firmenbuchnummer <tt>FN468924i</tt> folgendermaßen definiert: - <br /> <br /> - <tt><pr:Firmenbuchnummer>468924i</pr:Firmenbuchnummer></tt> - <br /><br /> - Leerzeichen werden ignoriert und im Falle einer Firmenbuchnummer werden - führende Nullen gelöscht und Bindestriche aus der Nummer entfernt. - <br /><br /> - Beispiele:<br /> - <blockquote> - <tt>468924 i</tt> wird zu <tt>468924i</tt><br /> - <tt>00468924</tt> wird zu <tt>468924i</tt><br /> - <tt>468924-i</tt> wird zu <tt>468924i</tt><br /> - </blockquote> - Alternativ zu den oben angeführten Elementen aus dem - <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a> - Namespace kann auch das Element <tt>AnyNumber</tt> verwendet werden, um - Stammzahlen zu spezifizieren, die nicht einer der vier oben aufgelisteten - Kategorien zugeordnet werden können. - <br></br> - Das Element <tt>AnyNumber</tt> hat genau ein Attribut namens <tt>Identifier</tt>, - das das Präfix der jeweiligen Stammzahl entält. Der Inhalt des - Elements <tt>AnyNumber</tt> ist die Stammzahl selbst, wobei die selben Regeln - wie oben gelten. - <br></br> - Die Firmenbuchnummer aus obigem Beispiel könnte man nun beispielsweise mit Hilfe das Elements - <tt>AnyNumber</tt> auch folgendermaßen definieren: - <br></br> - <tt><AnyNumber Identifier="FN">468924i</AnyNumber></tt> - <br></br> - Es sei aber nochmals daraufhingewiesen, dass für Stammzahlen der - Kategorien <tt>Firmenbuchnummer</tt>, <tt>Vereinsnummer</tt>, - <tt>ERJPZahl</tt> und <tt>ZMRzahl</tt> die vordefinierten Elemente aus - dem <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a> - Namespace verwendet werden sollen. Das Element <tt>AnyNumber</tt> wurde hauptsächlich in - das Schema aufgenommen, um offen für mögliche Erweiterungen zu sein. - </p> - <div id="OnlineApplication/AuthComponent/Templates" /> - <p id="block"> <b>OnlineApplication/AuthComponent/Templates</b> - <br /> - Dieses Kindelement kann genau einmal vorkommen und entspricht in seiner Struktur dem - Element <a href="#AuthTemplates" target="_new">AuthComponent/Templates</a>. - Es kann verwendet werden, um Templates zur Gestaltung der Seiten - "Auswahl der Bürgerkartenumgebung" sowie - "Anmeldung mit Bürgerkarte" individuell für - eine Online-Applikation zu definieren. Die hier definierten Templates haben - Priorität gegenüber globalen Templates und Templates, die - in der aufrufenden URL übergeben werden. - </p> - </div> - - <div id="OnlineApplication/AuthComponent/TransformsInfo" /> - <p id="block"> <b>OnlineApplication/AuthComponent/TransformsInfo</b> - <br /> - Dieses Kindelement kann mehrfach vorkommen und entspricht in seiner Struktur - dem Element <tt>AuthComponent/SecurityLayer/TransformsInfo</tt>. - Das Element kann verwendet werden, um für unterschiedliche - Online-Applikationen unterschiedliche Transformationen zu spezifizieren. - Alle über dieses Element definierten Transformationen haben - Vorrang gegenüber die durch <tt>AuthComponent/SecurityLayer/TransformsInfo</tt> - angegebenen Transformationen. Das heißt, ist für eine - Online-Applikation das Kindelement <tt>AuthComponent/TransformsInfo</tt> - vorhanden, so wird für diese Applikation die durch dieses Element - spezifizierte Transformation verwendet (das Element kann natürlich - mehrfach vorkommen, wodurch mehrere Transformationen bezeichnet werden). - Für alle Applkikationen, die kein Kindelement vom Typ - <tt>AuthComponent/TransformsInfo</tt> enthalten, werden die unter - <tt>AuthComponent/SecurityLayer/TransformsInfo</tt> spezifizierten - "Default-Transformationen" verwendet. <br /> - Dabei ist zu beachten, dass für jede definierte Transformation - ein entsprechendes <tt>MOA-SP/VerifyAuthBlock/VerifyTransformsInfoProfileID</tt> - Element vorhanden sein muss.</p> - </p> - </div> - <div id="VerifyInfoboxesOA" > - <p id="block"> <b>OnlineApplication/AuthComponent/VerifyInfoboxes</b> - <br /> - Dieses optionale Element entspricht dem <a href="#VerifyInfoboxesAuth">VerifyInfoboxes</a>-Element - aus der globalen AUTH-Komponente und überschreibt teilweise die - dort gesetzten Werte für die jeweilige Infobox pro Online-Applikation. - Dabei gelten die folgenden Regeln: - <br /> - Ist nur das globale <a href="#VerifyInfoboxesAuth">VerifyInfoboxes</a>-Element - vorhanden, so gelten die dort definierten Parameter für <b>alle</b> - Online-Applikationen. Ist kein globales Element vorhanden, so kann - MOA-ID für alle Online-Applikation, in deren AUTH-Komponente - ein <tt>VerifyInfoboxes</tt>-Element enthalten ist, die darin - definierten Infoboxen überprüfen. Für - Online-Applikationen, in deren AUTH-Komponente kein - <tt>VerifyInfoboxes</tt>-Element gesetzt ist, kann demnach keine - andere Infobox als die der Personenbindung validiert werden. - <br /> - Sind sowohl global (<tt>MOA-IDConfiguration/AuthComponent/VerifyInfoboxes</tt>) - als auch lokal (<tt>OnlineApplication/AuthComponent/VerifyInfoboxes</tt>) - in den Online-Applikationen Infobox-Validatoren konfiguriert, so verarbeitet - MOA-ID die darin enthaltenen Parameter wie folgt: - <ul> - <li id="DefaultTrustProfileOA"><tt>DefaultTrustProfile</tt>: Ein lokal - definiertes Default-Trust-Profil hat sowohl Vorrang gegenüber einem - global gesetzten <a href="#DefaultTrustProfileVI">Default-Trust-Profil</a> - als auch gegenüber einem global gesetzen - <a href="#TrustProfileVI">infobox-spezifischen</a> Trustprofil. Ist - beispielsweise im globalen <tt>VerifyInfoboxes</tt>-Element zwar kein - Default-Trust-Profil, aber für die Infobox A ein eigenes Trust-Profil - definiert, so wird ein lokal definiertes Default-Trust-Profil dem global - für die Infobox A gesetzten Trust-Profil vorgezogen. - </li> - <li id="InfoboxOA"><tt>Infobox</tt>: MOA-ID kann die Vereinigung aus den - global und lokal konfigurierten Infoboxen für eine Online-Applikation - validieren. Sind beispielsweise global Prüfapplikationen - für die Infoboxen mit den Bezeichnern - (<a href="#IdentifierVI">Infobox/@Identifier</a>-Attribut) <tt>A</tt> - und <tt>B</tt> konfiguriert, und lokal für die Online-Applikation - <tt>OA1</tt> die Infoboxen <tt>B</tt>, <tt>C</tt> und <tt>D</tt>, so - kann MOA-ID für die Online-Applikation <tt>OA1</tt> die - Infoboxen <tt>A</tt>, <tt>B</tt>, <tt>C</tt> und <tt>D</tt> validieren. - Für die Infobox <tt>A</tt> werden dabei die Parameter aus der - globalen Konfiguration verwendet und für die Infoboxen - <tt>C</tt> und <tt>D</tt> die lokalen Parameter. Für die Infobox - <tt>B</tt> sind sowohl globale als auch lokale Parameter vorhanden, - die von MOA-ID wie folgt interpretiert werden: - <ul> - <li>Attribute: - Die Attribute <a href="#requiredVI">required</a>, - <a href="#provideStammzahlVI">provideStammzahl</a> und - <a href="#provideIdentityLinkVI">provideIdentityLink</a> <b><i>überschreiben</i></b> - die global gesetzten Werte. Dabei ist zu beachten, das ein Fehlen dieser - Attribute bedeutet, dass ihnen über das Schema der Defaultwert - <tt>false</tt> zugewiesen wird. Ist also beispielsweise für die - Infobox mit dem Bezeichner <tt>B</tt> das <tt>required</tt>-Attribut - global auf <tt>true</tt> gesetzt (<Infobox Identifier="B" required="true">) - und fehlt dieses Attribut lokal in der Online-Applikation <tt>OA1</tt> - (<Infobox Identifier="B">), so hat das <tt>required</tt>-Attribut - für die Infobox <tt>B</tt> den Wert <tt>false</tt>. - <br /> - Die Attribute <a href="#requiredVI">required</a>, - <a href="#provideStammzahlVI">provideStammzahl</a> und - <a href="#provideIdentityLinkVI">provideIdentityLink</a> müssen also - für Infoboxen, die sowohl global als auch lokal konfiguriert sind, - in jeder lokalen Konfiguration neu gesetzt werden, wenn ihnen der Wert - <tt>true</tt> zugwiesen werden sollen. - </li> - <li>Kind-Elemente: - <ul> - <li id="FriendlyNameOA"><a href="#FriendlyNameVI">FriendlyName</a>: - Ein lokal gesetzter <tt>FriendlyName</tt> wird einem global - gesetzten vorgezogen. Ist sowohl lokal als auch global kein - <tt>FriendlyName</tt> definiert, so wird das - <a href="#IdentifierVI">Identifier</a>-Attribut als <tt>FriendlyName</tt> - verwendet. - <br /> - </li> - <li id="TrustProfileOA"><a href="#TrustProfileVI">TrustProfileID</a>: - Ein lokal definiertes Trust-Profil wird einem lokal definierten - Default-Trust-Profil vorgezogen. Sind lokal sowohl kein - Default-Trust-Profil als auch kein infobox-spezifisches Trust-Profil - definiert, so wird das global gesetzte infobox-spezifisches Trust-Profil - verwendet. Fehlt auch dieses, so wird das globale Default-Trust-Profil - selektiert. Ist weder lokal als auch lokal ein Trust-Profil - definiert, so wird für für die Validierung dieser - Infobox kein Trust-Profil benötigt. - </li> - <li id="ValidatorClassOA"><a href="#ValidatorClassVI">ValidatorClass</a>: - Eine lokal gesetzte Validator-Klasse wird einer global gesetzten - vorgezogen. Ist sowohl lokal als auch global für eine Infobox - keine Validator-Klasse konfiguriert, so wird die Default-Klasse - geladen (siehe <a href="#ValidatorClassVI">ValidatorClass</a>). - </li> - <li id="SchemaLocationsOA"><a href=#SchemaLocations">SchemaLocations</a>: - Lokal definierte Schemas werden global definierten vorgezogen. - Sind lokal keine Schemas konfiguriert, so werden die globalen verwendet, - so sie vorhanden sind. - </li> - <li id="ApplicationSpecificParametersOA"> - <a href="#ApplicationSpecificParameters">ApplicationSpecificParameters</a>: - Lokal definierte applikationsspezifische Paramter werden global - definierten vorgezogen. Sind lokal keine derartigen Paramter - konfiguriert, so werden die globalen verwendet, so sie vorhanden - sind. - </li> - </ul> - </li> - </ul> - </li> - </ul> - <br /> - <b id="VerifyInfoboxesSample">Beispiel</b>: In der Konfigurationsdatei - <a href="examples/SampleMOAIDVerifyInfoboxesConfiguration.xml" target="_new"> - SampleMOAIDVerifyInfoboxesConfiguration.xml</a> sind global - (<tt>MOA-IDConfiguration/AuthComponent/VerifyInfoboxes</tt>) - Prüfapplikationen für die beiden Infoboxen mit den Bezeichnern - <tt>InfoboxA</tt> und <tt>InfoboxB</tt> konfiguriert. - <tt>InfoboxA</tt> demonstriert in diesem Beispiel die minimale Konfiguration - einer Prüfapplikation - es ist nur der Identifier angegeben. MOA-ID - wird in diesem Fall versuchen, die Default-Validatorklasse - <tt>at.gv.egovernment.moa.id.auth.validator.infoboxa.InfoboxAValidator</tt> - zu laden (siehe dazu auch MOA-ID-Spezifikation, Abschnitt 4.7.2.3, - <tt>Zuordnung eines InfoboxReadResponse zu einer implementierenden Klasse</tt>). - Da ein Default-Trust-Profil (<tt>GlobalVIDefaultTrust</tt>) konfiguriert ist, - wird MOA-ID dieses Profil zur Verifikation von Zertifikaten heranziehen. - Da kein <tt>FriendlyName</tt> gesetzt ist, wird das <tt>Identifier</tt> Attibut - (<tt>InfoboxA</tt>) als <tt>FriendlyName</tt> verwendet. Weitere Parameter - sind für die Verifikation dieser Infobox nicht erforderlich. - <br /> - Die Prüfapplikation für die <tt>InfoboxB</tt> setzt nahezu alle - möglichen Paramter mit Ausnahme der Validator-Klasse. MOA-ID wird - zur Verifikation dieser Infobox also auch die dafür zustädige Default-Klasse - (<tt>at.gv.egovernment.moa.id.auth.validator.infoboxb.InfoboxBValidator</tt>) - laden, und alle konfigurierten Parameter an diese Klasse übergeben. - <br /> - In die Konfigurationsdatei sind drei Online-Applikationen mit den - public URL-Prefixen <tt>https://OA1/</tt>, <tt>https://OA2/</tt> und - <tt>https://OA3/</tt> eingetragen. - Online-Applikation <tt>OA1</tt> konfiguriert Prüfapplikationen für - die drei Infoboxen <tt>InfoboxB</tt>, <tt>InfoboxC</tt> und - <tt>InfoboxD</tt>. Das heißt, MOA-ID kann für die Online-Applikation - <tt>OA1</tt> insgesamt vier Infoboxen überprüfen: die - Paramter für die Infobox <tt>InfoboxA</tt> werden - von der entsprechenden global konfigurierten Prüapplikation - übernommen. Die Infoboxen <tt>InfoboxC</tt> und - <tt>InfoboxD</tt> sind nur lokal gesetzt. Für <tt>InfoboxB</tt> - übernimmt MOA-ID die applikationsspezifischen Parameter aus der - entsprechenden global konfigurierten Infobox und überschreibt - alle weiteren Parameter mit den lokalen Werten. Als Trust-Profil wird - das lokale Deafult-Trust-Profil (<tt>LocalOA1DefaultTrust</tt>) genommen - - dieses hat Vorrang gegenüber den global gesetzten Profilen. Weiters - ist zu beachten, dass die Attribute <tt>provideStammzahl</tt> und - <tt>provideIdentityLink</tt> lokal nicht gesetzt sind, und daher den - Deafult-Wert <tt>false</tt> einnehmen. - <br /> - Das <tt>VerifyInfoboxes</tt>-Element in der AUTH-Komponente der zweiten - Online-Applikation (<tt>OA2</tt>) spezifiziert keine anderen Prüfapplikationen - als die global definierten, überschreibt aber für beide Infoboxen - teilweise die global gesetzten Parameter. <tt>InfoboxA</tt> verwendet - ein lokal definiertes Trust-Profil (<tt>LocalInfoboxOA2ATrust</tt>), - <tt>InfoboxB</tt> übernimmt - alle globalen Parameter, setzt aber für die Attribute <tt>required</tt>, - <tt>provideStammzahl</tt> und <tt>provideIdentityLink</tt> jeweils den - Defaultwert <tt>false</tt>. - <br /> - Die dritte Online-Applikation <tt>OA3</tt> enthält in Ihrer AUTH-Komponente - kein <tt>VerifyInfoboxes</tt>-Element. MOA-ID übernimmt daher für - diese Online-Applikation die global konfigurierten Infobox-Prüapplikationen - (<tt>InfoboxA</tt> und <tt>InfoboxB</tt>) mit allen Paramertern genauso wie - sie dort gesetzt sind. Zu beachten ist hier, dass das in der AUTH-Komponente - auf <tt>true</tt> gesetzte Attribut <tt>proviedStammzahl</tt> die - Online-Applikation und <b><i>nicht</i></b> die Prüapplikation - betrifft. - <br /> - </p> - </div> - </p> - </div> - <div id="OnlineApplication/ProxyComponent" /> - <p id="block"> <b>OnlineApplication/ProxyComponent</b> - <br /> - Das Element <tt>OnlineApplication/ProxyComponent</tt> - muss verwendet werden wenn auf dem Server die - Proxykomponente installiert wird. <br /> - <br /> - Das optionale Attribut <tt>configFileURL</tt> - verweist auf eine Konfigurationsdatei die dem Schema - <a href="../MOA-ID-Configuration-1.4.xsd" target="_new">MOA-ID-Configuration-1.4.xsd</a> - entspricht mit Dokument-Element <tt>Configuration</tt>. - Die Angabe erfolgt relativ zur verwendeten MOA-ID - Konfigurationsdatei. Beispiel für das Element - <tt>configFileURL</tt>: "oa/SampleOAConfiguration.xml".<br /> - Defaultmäßig wird versucht die Datei - von der betreffenden OnlineApplikation unter dem - Wert: <tt>http://<realURLPrefix>/MOAConfig.xml</tt> - zu laden.<br/> - (<tt><realURLPrefix></tt> entspricht dem - Wert von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) - <br /> - <br /> - Das optionale Attribut <tt>sessionTimeOut</tt> - legt das Timeout einer Benutzersession in der - Proxykomponente in Sekunden fest.<br /> - Default-Wert: 3600 <br /> - <br /> - Im optionalen Attribut <tt>loginParameterResolverImpl</tt> - kann der Klassenname eines zu verwendenden <tt>LoginParameterResolver</tt> - angegeben werden, welcher die Defaultimplementierung - ersetzt. <br /> - </p> - <p id="block">Im optionalen Attribut <tt>loginParameterResolverConfiguration - </tt>kann ein Configurationsstring für die - Initialisierung der betreffenden <tt>loginParameterResolverImpl</tt> - angegeben werden.<br> - <br /> - Im optionalen Attribut <tt>connectionBuilderImpl</tt> - kann der Klassenname eines zu verwendenden ConnectionBuilder - angegeben werden, welcher die Defaultimplementierung - ersetzt. <br /> - <br /> - Im Kind-Element <tt>ConnectionParameter</tt> ist - konfiguriert, wie MOA-ID-PROXY zur Online-Applikation - verbindet. </p> - <div id="ChainingModes" /> - <p id="block"> <b>ChainingModes</b><br /> - Das Element <tt>ChainingModes</tt> definiert, - ob bei der Zertifikatspfad-überprüfung - das Kettenmodell (<tt>"chaining"</tt>) oder - das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>) - verwendet werden soll. <br /> - <br /> - Das Attribut <tt>systemDefaultMode</tt> spezifiziert - das Modell, das im Standardfall verwendet werden - soll. <br/> - <br/> - Mit dem Kind-Element <tt>TrustAnchor</tt> kann - für jeden Trust Anchor ein abweichendes - Modell spezifiziert werden. Ein Trust Anchor - ist ein Zertifikat, das in <tt>TrustedCACertificates</tt> - spezifiziert ist. Ein Trust Anchor wird durch - den Typ <tt><dsig:X509IssuerSerialType></tt> - spezifiziert. Das für diesen Trust Anchor - gültige Modell wird durch das Attribut - <tt>mode</tt> spezifiziert. <br/> - <br/> - Gültige Werte für die Attribute <tt>systemDefaultMode</tt> - und <tt>mode</tt> sind <tt>"chaining"</tt> und - <tt>"pkix"</tt>. <br/> - <br/> - <a href="examples/ChainingModes.txt">Beispiel</a> - </p> - <div id="TrustedCACertificates" /> - <p id="block"> <b>TrustedCACertificates</b><br /> - Das Element <tt>TrustedCACertificates</tt> - enthält das Verzeichnis (relativ zur - MOA-ID Konfigurationsdatei), das jene Zertifikate - enthält, die als vertrauenswürdig - betrachtet werden. Im Zuge der Überprüfung - der TLS-Serverzertifikate wird die Zertifikatspfaderstellung - an einem dieser Zertifikate beendet. </p> - <div id="GenericConfiguration" /> - <p id="block"> <b>GenericConfiguration</b><br /> - Das Element <tt>GenericConfiguration</tt> - ermöglicht das Setzen von Namen-Werte - Paaren mittels der Attribute <tt>name</tt> - und <tt>value</tt>. Die folgende Liste spezifiziert - <ul> - <li>gültige Werte für das name-Attribut, - </li> - <li>eine Beschreibung </li> - <li>gültige Werte für das value-Attribut - und (falls vorhanden)</li> - <li>den Default-Wert für das value-Attribut. - </li> - </ul> - <table border="0" cellspacing="3" cellpadding="2"> - <tr id="DirectoryCertStoreParameters.RootDir"> - <th align="left">name: DirectoryCertStoreParameters.RootDir</th> - </tr> - <tr> - <td id="info"> Gibt den Pfadnamen zu einem - Verzeichnis an, das als Zertifikatsspeicher - im Zuge der TLS-Server-Zertifikatsüberprüfung - verwendet wird.<br /> - <hr /> - <b>value: </b><br /> - Gültige Werte: Name eines gültigen - Verzeichnisses (relativ zur MOA-ID Konfigurationsdatei)<br /> - <b>Dieser Parameter muss angegeben werden.</b> - </td> - </tr> - </table> - <table border="0" cellspacing="3" cellpadding="2"> - <tr id="AuthenticationSession.TimeOut"> - <th align="left">name: AuthenticationSession.TimeOut</th> - </tr> - <tr> - <td id="info"> Gibt die Zeitspanne in - Sekunden vom Beginn der Authentisierung - bis zum Anlegen der Anmeldedaten an. - Wird die Angegebene Zeitspanne überschritten - wird der Anmeldevorgang abgebrochen. - <br /> - <hr /> - <b>value: </b><br /> - Gültige Werte: positive Ganzzahlen - <br /> - Default-Wert: 120 </td> - </tr> - </table> - <table border="0" cellspacing="3" cellpadding="2"> - <tr id="AuthenticationData.TimeOut"> - <th align="left">name: AuthenticationData.TimeOut</th> - </tr> - <tr> - <td id="info"> Gibt die Zeitspanne in - Sekunden an, für die die Anmeldedaten - in der Authentisierungskomponente zum - Abholen durch die Proxykomponente oder - eine nachfolgende Applikation bereitstehen. - Nach Ablauf dieser Zeitspanne werden - die Anmeldedaten gelöscht.<br /> - <hr /> - <b>value: </b><br /> - Gültige Werte: positive Ganzzahlen<br /> - Default-Wert: 600 </td> - </tr> - </table> - <table border="0" cellspacing="3" cellpadding="2"> - <tr id="TrustManager.RevocationChecking"> - <th align="left">name: TrustManager.RevocationChecking</th> - </tr> - <tr> - <td id="info"> Für die TLS-Server-Authentisierung - dürfen nur Server-Zertifikate verwendet - werden, die eine CRLDP-Extension enthalten - (andernfalls kann von MOA-ID keine CRL-überprüfung - durchgeführt werden). <br /> - Soll das RevocationChecking generell - ausgeschaltet werden, ist dieses Attribut - anzugeben und auf "false" zu setzen. - <br /> - <hr /> - <b>value: </b><br /> - Gültige Werte: true, false<br /> - Default-Wert: true </td> - </tr> - </table> - <table border="0" cellspacing="3" cellpadding="2"> - <tr id="TrustManager.RevocationChecking"> - <th align="left">name: FrontendServlets.EnableHTTPConnection</th> - </tr> - <tr> - <td id="info"> - <p>Standardmäßig können - die beiden Servlets "StartAuthentication" - und "SelectBKU" welche das - User-Frontend darstellen, aus Sicherheitsgründen, - nur über das Schema HTTPS aufgerufen - werden. </p> - <p>Wenn die beiden Servlets jedoch auch - Verbindungen nach dem Schema HTTP - entgegennehmen sollen, so kann mittels - dem Attribut "EnableHTTPServletConnection" - erlaubt werden.</p> - <p>Hinweis: Sicher und sinnvoll ist - das Erlauben der HTTP Verbindung nur - dann, wenn ein Vorgeschalteter Webserver - das HTTPS handling übernimmt, - und eine Verbindung zu den Servlets - nur über diesen Webserver möglich - ist.</p> - <hr /> - <b>value: </b><br /> - Gültige Werte: true, false<br /> - Default-Wert: false</td> - </tr> - </table> - <table border="0" cellspacing="3" cellpadding="2"> - <tr id="TrustManager.RevocationChecking"> - <th align="left"><a name="DataURLPrefix"></a>name: - FrontendServlets.DataURLPrefix</th> - </tr> - <tr> - <td id="info"> - <p>Standardmäßig wird als - DataURL Prefix das URL Präfix - unter dem die MOA-ID Servlets erreichbar - sind verwendet. Im Falle das sich - der MOA-ID Server hinter einer Firewall - befindet und die Requests von einem - vorgelagertem Webserver weitergereicht - werden, kann mit FrontendServlets.DataURLPrefix - ein alternatives URL Präfix angegeben - werden. In diesem Fall muss der Webserver - so konfiguriert sein, dass er Request - auf diese URLs an den MOA-ID Server - weiterleitet.</p> - <hr /> - <b>value: </b><br /> - Gültige Werte: URLs nach dem Schema - 'http://' und 'https://'<br /> - Default-Wert: kein Default-Wert<br> - Beispiel: <GenericConfiguration name="FrontendServlets.DataURLPrefix" - value="https://<your_webserver>/moa-id-auth/"/></td> - </tr> - </table> - </div> - </div> - </div> - </div> - </div> - </div> - </div> - </div> - </div> - </div> - </div> - </div> - </div> - </div> - </td> - </tr></table> - - -<br /><br /> -<div id="oa-config" /> -<table width="650" border="0" cellpadding="10" cellspacing="0"> -<tr> -<td width="170" valign="top" id="klein"> -<p id="subtitel"> </p> -<div id="slogan"> -<br /><br /> -</div> -</td> -<td valign="top"> -<p id="subtitel">Konfiguration der Online-Applikation</p> -<div id="block"> -Die Konfiguration der OA beschreibt die Art und Weise, wie die Proxykomponente die Anmeldung an der Online-Applikation -durchführt. -<br /><br /> -Der Name der Konfigurationsdatei wird in der Konfiguration von MOA-ID als Wert des Attributs -<tt>configFileURL</tt> des Elements <tt>MOA-IDConfiguration/OnlineApplication/ProxyComponent</tt> hinterlegt. -<br/>Ist dieses Attribut nicht gesetzt, dann wird die Datei von <tt>http://<realURLPrefix>/MOAConfig.xml</tt> geladen, -wobei <tt><realURLPrefix></tt> dem Konfigurationswert <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt> entspricht. -<br /><br /> -Die Konfigurationsdatei ist eine XML-Datei, die dem Schema -<a href="../MOA-ID-Configuration-1.4.xsd" target="_new">MOA-ID-Configuration-1.4.xsd</a> mit dem Wurzelelement -<tt>Configuration</tt> entspricht. -</div> - -<div id="LoginType" /> -<p id="block"> -<b>LoginType</b><br /> -Das Element <tt>LoginType</tt> gibt an, ob die Online-Applikation ein einmaliges Login erwartet (<tt>stateful</tt>), -oder ob die Login-Parameter bei jedem Request mitgegeben werden müssen (<tt>stateless</tt>). Im Fall einer stateful -Online-Applikation werden die in der HTTP-Session der Proxykomponente gespeicherten Anmeldedaten nur für den Aufruf -des Login-Scripts verwendet. Unmittelbar nach dem Aufruf werden sie gelöscht. -<br /> -Default-Wert: <tt>stateful</tt> -</p> -</div> - -<div id="ParamAuth" /> -<p id="block"> -<b>ParamAuth</b><br /> -Konfiguriert die übergabe der Authentisierungs-Parameter an die Online-Applikation mittels URL-Parametern. Das Element -kann ein oder mehrere Kind-Elemente <tt><Parameter></tt> beinhalten. -</p> -</div> - -<div id="Parameter" /> -<p id="block"> -<b>ParamAuth/Parameter</b><br /> -Das Element <tt><Paramter></tt> enthält die Attribute <tt>Name</tt> und <tt>Value</tt>. -<br /><br /> -Das Attribut <tt>Name</tt> beschreibt den Namen des Parameters und ist ein frei zu wählender String. -<br /><br /> -Das Attribut <tt>Value</tt> beschreibt den Inhalt des Parameters und kann einen der durch <tt>MOAAuthDataType</tt> beschriebenen -Werte annehmen. Gültige Werte von <tt>MOAAuthDataType</tt> sind: -<ul> -<li><tt>MOAGivenName</tt> - der Vorname des Benutzers, wie in der Personenbindung enthalten -<li><tt>MOAFamilyName</tt> - der Nachname des Benutzers, wie in der Personenbindung enthalten -<li><tt>MOADateOfBirth</tt> - das Geburtsdatum des Benutzers, wie in der Personenbindung enthalten -<li><tt>MOABPK</tt> - die bereichsspezifische Personenkennzeichnung des Benutzers, wie von der -Authentisierungskomponente berechnet -<li><tt>MOAWBPK</tt> - das wirtschaftsbereichsspezifische Personenkennzeichen des Benutzers, wie von der -Bügerkartenumgebung berechnet -<li><tt>MOAPublicAuthority</tt> - wird durch <tt>true</tt> ersetzt, falls der Benutzer mit einem Zertifikat signierte, -welches eine <a href="../OID-1-0-3.pdf">Behördenerweiterung</a> beinhaltet. Andernfalls wird <tt>false</tt> gesetzt -<li><tt>MOABKZ</tt> - das Behördenkennzeichen (nur sinnvoll, wenn <tt>MOAPublicAuthority</tt> den Wert <tt>true</tt> -ergibt) -<li><tt>MOAQualifiedCertificate</tt> - wird durch <tt>true</tt> ersetzt, falls das Zertifikat des Benutzers -qualifiziert ist, andernfalls wird <tt>false</tt> gesetzt -<li><tt>MOAStammzahl</tt> - die Stammzahl des Benutzers; diese ist nur dann verfügbar, wenn die Online-Applikation -die Stammzahl bekommen darf (und daher in der Personenbindung enthalten ist) -<li><tt>MOAIPAddress</tt> - IP-Adresse des Client des Benutzers. -</ul> - -Anhand der <tt><Parameter></tt>-Elemente wird der Request für den Login-Vorgang (für stateful Online-Applikationen) -folgendermaßen zusammenge-stellt:<br /> -<blockquote> -<code>GET https://<login-url>?<br /> - <p1.name=p1.resolvedValue>&<br /> - <p2.name=p2.resolvedValue>...</code> -</blockquote> -<p id="block"> -Die <tt><login-url></tt> ergibt sich aus dem Parameter OA des <a href="id-anwendung_1.htm">Aufrufs von MOA-ID-AUTH</a>, -zusammen mit der Konfiguration von <tt>OnlineApplication/@publicURLPrefix</tt> und von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>. -<br/>Der Wert <tt>resolvedValue</tt> wird in MOA-ID-PROXY je nach Wert des Platzhalters eingesetzt. -</p> -<tt></tt></div><tt></tt> -<div id="BasicAuth" /> -<p id="block"> -<b>BasicAuth</b><br /> -Das Element <tt>BasicAuth</tt> konfiguriert die übergabe der Authentisierungs-Parameter an die Online-Appliktion -mittels HTTP Basic Authentication. Es enthält zwei Kind-Elemente. -<br /><br /> -Das Element <tt>UserID</tt> gibt die UserId des zu authentisierenden Benutzers an und kann einen der durch -<tt>MOAAuthDataType</tt> beschriebenen Werte annehmen. -<br /><br /> -Das Element <tt>Password</tt> gibt das Passwort des zu authentisierenden Benutzers an und kann einen der durch -<tt>MOAAuthDataType</tt> beschriebenen Werte annehmen. -</p> -</div> - -<div id="HeaderAuth" /> -<p id="block"> -<b>HeaderAuth</b><br /> -Das Element <tt>HeaderAuth</tt> konfiguriert die übergabe der Authentisierungs-Parameter an die Online-Applikation -in HTTP Request Headern. Das Element kann ein oder mehrere Kind-Elemente <tt><Header></tt> beinhalten. -</p> -</div> - -<div id="Header" /> -<p id="block"> -<b>HeaderAuth/Header</b><br /> -Das Element <tt><Header></tt> enthält die Attribute Name und Value. -<br /><br /> -Das Attribut <tt>Name</tt> beschreibt den Namen des Header und ist ein frei zu wählender String. -<br /><br /> -Das Attribut <tt>Value</tt> beschreibt den Inhalt des Header und kann einen der durch <tt>MOAAuthDataType</tt> -beschriebenen Werte annehmen. -<br /><br /> -Die Header werden folgendermaßen in den Request an die Online-Applikation eingefügt: -<blockquote><pre> -<h1.name>:<h1.resolvedValue> -<h2.name>:<h2.resolvedValue> -... -</pre></blockquote> -Der Wert <tt>resolvedValue</tt> wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt. -Etwaige Header aus dem ursprünglichen Request an die Proxykomponente, die denselben Namen haben, müssen -überschrieben werden. -<p></p> -</div> -</tt></tt></td></tr></table> - - -<div id="sp-config" /> -<table width="650" border="0" cellpadding="10" cellspacing="0"> -<tr> -<td width="170" valign="top" id="klein"> -<p id="subtitel"> </p> -<div id="slogan"> -<br /><br /> -</div> -</td> -<td valign="top"> -<p id="subtitel">Konfiguration von MOA-SP</p> -<div id="block"> - - <p id="block"> MOA-ID überprüft die Signaturen der Personenbindung und - des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt> von - MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. - <br /> - <br /> - <b>VerifyTransformsInfoProfile</b><br /> - Der Request zum überprüfen der Signatur des AUTH-Blocks - verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die - im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei - im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ - VerifyTransformsInfoProfileID</tt> definiert. Entsprechend muss - am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender - ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung - von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt> - enthalten. Diese Profildefinition muss unverändert übernommen - werden. </p> - <div id="verifytransformsInfoProfile" /></div> - -<div id="trustProfile" /> -<p id="block"> -<b>TrustProfile</b><br /> -Die Requests zur überprüfung der Signatur verwenden vordefinierte TrustProfile. -Die im Request verwendete Profil-IDs werden in der MOA-ID Konfigurationsdatei -in den Elementen <tt>/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyIdentityLink/ TrustProfileID</tt> und -<tt>/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyAuthBlock/TrustProfileID</tt> definiert. Diese beiden Elemente -können unterschiedliche oder identische TrustProfileIDs enthalten. -Am MOA-SP Server müssen TrustProfile mit gleichlautender ID definiert werden. -Die Auslieferung von MOA-ID enthält das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/trustprofiles/MOAIDBuergerkarteRoot</tt>, -das als TrustProfile verwendet werden kann. Weitere Zertifikate können als vertrauenswürdig hinzugefügt werden. -</p> -</div> - -<div id="certstore" /> -<p id="block"> -<b>Certstore</b><br /> -Zum Aufbau eines Zertifikatspfades können benötigte Zertifikate aus einem Zertifikatsspeicher verwendet werden. -Die Auslieferung von MOA-ID enthält das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/certstore</tt>, das als initialer -Zertifikatsspeicher verwendet werden kann. -</p> -</div> - -<div> -Hinweis: Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues Format für die XML-Konfigurationsdatei. -Für die Konvertierung einer älteren Konfigurationsdatei auf das neue Format steht Ihnen ein Tool -zur Verfügung. Details dazu finden sie in der der Distribution von MOA-SP/SS beiligenden -Dokumentation im Kapitel 'Konfiguration', Abschnitt 1.2.1.<br> - -</div> -</td></tr></table> - - -<div id="online-config" /> -<table width="650" border="0" cellpadding="10" cellspacing="0"> -<tr> -<td width="170" valign="top" id="klein"> -<p id="subtitel"> </p> -<div id="slogan"> -<br /><br /> -</div> -</td> -<td valign="top"> -<p id="subtitel">Änderung der Konfiguration während des Betriebs</p> -<div id="block"> -Der Inhalt dieser Konfiguration, bzw. jene Teile, auf die indirekt verwiesen wird, können während des laufenden -Betriebes des MOA-Servers geändert werden. Der Server selbst wird durch den Aufruf einer <a href="id-admin_1.htm#ConfigUpdate">URL</a> -(im Applikationskontext von MOA ID) dazu veranlasst, die geänderte Konfiguration neu einzulesen. -Im Falle einer fehlerhaften neuen Konfiguration wird die ursprüngliche Konfiguration beibehalten. -</div> - - -</td></tr></table> -<br /><br /> - - - -<table width="650" border="0" cellpadding="10" cellspacing="0"> -<tr> -<td width="170" valign="top"><br /></td> -<td valign="top"> -<hr /> -<div style="font-size:8pt; color:#909090">© 2004</div> -</td></tr></table> -<br /> - - -</div> -</div></div></div></body> -</html> |