diff options
Diffstat (limited to 'id.server/doc/moa_id/id-admin_2.htm')
| -rw-r--r-- | id.server/doc/moa_id/id-admin_2.htm | 623 |
1 files changed, 623 insertions, 0 deletions
diff --git a/id.server/doc/moa_id/id-admin_2.htm b/id.server/doc/moa_id/id-admin_2.htm new file mode 100644 index 000000000..b4e22a36b --- /dev/null +++ b/id.server/doc/moa_id/id-admin_2.htm @@ -0,0 +1,623 @@ +<html> +<head> + <title>MOA ID-Administration</title> + <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" /> + <meta content="heinz.rosenkranz@brz.gv.at" name="author"/> + +<style type="text/css"> + body { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; } + td { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; } + th { font-family:"Verdana", "Arial"; font-size:10pt; font-weight:bold; color:#d8d8d8; background:#505050} + li { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px } + ul { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px } + tt { font-size:9pt; color:#505060; } + #titel { font-family:"Verdana", "Arial"; font-size:18pt; color:#505060; } + #subtitel { font-family:"Verdana", "Arial"; font-size:12pt; color:#505060; font-weight:bold; } + #slogan { font-family:"Verdana", "Arial"; font-size:8pt; color:#808090; text-align:justify; width:160px } + #block { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; text-align:justify } + #klein { font-family:"Verdana", "Arial"; font-size:9pt; color:#505060; margin-top:3px } + #info { font-family:"Verdana", "Arial"; font-size:8pt; color:#505060; padding:3px; border:solid 1px #c0c0c0 } + #infolist { font-family:"Verdana", "Arial"; font-size:8pt; color:#505060; } + a:link {color:#000090} + a:visited {color:#000090} + a:hover {color:#c03030} + a {text-decoration: none} +</style> + +<script language="JavaScript"> +<!-- +function goWin(url) { + Fenster=window.open(url,"smallWin","toolbar=0,location=0,directories=0,status=0,menubar=0,resizable=yes,scrollbars=yes,width=500,height=480,top=20,screenY=0,left=20,screenX=0"); + window.setTimeout("showWin()",300); +} +function showWin() { Fenster.focus(); } +// --> +</script> +</head> + +<body bgcolor="#FFFFFF" > +<div style="width:650px"> + +<!-- Projekt-Logo --> +<div style="height:42px; font-size:16pt; color:#b0b8c0; background:#003050"> + Module für Online-Applikationen +</div> +<div style="margin-left:8px; margin-top:3px; font-size:8pt; color:#707070; "> +<!-- Development Center der BRZ GmbH, A-Trust und IAIK Graz -->  +</div> +<div style="margin-top:-65px; text-align:right; font-size:8pt; font-weight:bold; color:#d04040;" > +Projekt <span style="font-size:48pt; ">moa</span>  +</div> +<br /> + +<!-- First Section with Navigation --> +<table width="650" border="0" cellpadding="10" cellspacing="0"> +<tr> +<td width="170" valign="top"> +<div style="font-weight:bold; margin-top:12px">MOA-ID</div><br /> +<div id="klein"><a href="id-admin.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> + <b> übersicht</b></a></div> +<div id="klein"><a href="id-admin_1.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> + <b> Basis-Installation</b></a></div> +<div id="klein"><img src="../moa_images/select.gif" border="0" width="13" height="14" /> + <b> Konfiguration </b></div> +<div id="klein"><a href="id-admin_3.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" /> + <b> Optionale<br />    Komponenten</b></a></div> +<br /> +<div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" /> + <b> Zurück</b></a></div> +<br /><br /> +<div id="slogan"> +<a href="#moaid-konfiguration"><b>Konfiguration<br />von MOA-ID</b></a> +<br /><br /> +<a href="examples/conf/MOA-ID-Configuration.xml" target="_new">Konfigurationsdatei</a> +<br /><br /> +<b>Parameter-übersicht</b><br /> +<a href="#ConnectionParameter">ConnectionParameter</a><br /> +<a href="#AuthComponent">AuthComponent</a><br /> +<a href="#BKUSelection" > BKUSelection</a><br /> +<a href="#SecurityLayer"> SecurityLayer</a><br /> +<a href="#MOA-SP"> MOA-SP</a><br /> +<a href="#IdentityLinkSigners"> IdentityLinkSigners</a><br /> +<a href="#ProxyComponent">ProxyComponent</a><br /> +<a href="#OnlineApplication">OnlineApplication</a><br /> +<a href="#OnlineApplication/AuthComponent"> AuthComponent</a><br /> +<a href="#OnlineApplication/ProxyComponent"> ProxyComponent</a><br /> +<a href="#ChainingModes">ChainingModes</a><br /> +<a href="#TrustedCACertificates">TrustedCACertificates</a><br /> +<a href="#GenericConfiguration">GenericConfiguration</a><br /> +<br /> +<a href="#oa-config"><b>Konfiguration<br />der Online-Applikation</b></a><br /> +<br /> +<b>Parameter-übersicht</b><br /> +<a href="#LoginType">LoginType</a><br /> +<a href="#ParamAuth">ParamAuth</a><br /> +<a href="#Parameter"> ParamAuth/Parameter</a><br /> +<a href="#BasicAuth">BasicAuth</a><br /> +<a href="#HeaderAuth">HeaderAuth</a><br /> +<a href="#Header"> HeaderAuth/Header</a><br /> +<br /> +<a href="#sp-config"><b>Konfiguration<br />von MOA-SP</b></a><br /> +<br /> +<a href="#verifytransformsInfoProfile">VerifyTransformsInfoProfile</a><br /> +<a href="#trustProfile">TrustProfile</a><br /> +<a href="#certstore">Certstore</a><br /> +<br /> +<a href="#online-config"><b>änderung der Konfig. <br />während des Betriebs</b></a><br /> + +<br /> +</div> + +</td> + +<td valign="top"> +<div id="titel">Konfiguration von MOA ID v.1.1</div> + +<div id="moaid-konfiguration" /> +<p id="subtitel">Konfiguration von MOA ID v.1.1</p> +<p id="block"> +Die Konfiguration von MOA ID wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema +<a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> entspricht, durchgeführt. +<p /> +Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment der Web-Applikation +in Tomcat</a> beschrieben. +<p /> +Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. +<a href="examples/conf/MOA-ID-Configuration.xml" target="_new">MOA-ID-Configuration.xml</a> zeigt ein Beispiel +für eine umfassende Konfigurationsdatei. +</p> +Enthält die Konfigurationsdatei relative Pfadangaben, werden diese relativ zum Verzeichnis, in dem Tomcat gestartet wurde, interpretiert. + +<div id="ConnectionParameter" /> +<p id="block"> +<b>ConnectionParameter</b> <br /> +Das Element <tt>ConnectionParameter</tt> enthält Parameter, die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten +benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei auf und wird daher vorab detailliert beschrieben. +<br /><br /> +Das Attribut <tt>URL</tt> enthält die URL der Komponente zu der die Verbindung aufgebaut werden soll. +Wird das Schema <tt>https</tt> verwendet, können die Kind-Elemente <tt>AcceptedServerCertificates</tt> +und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt> verwendet müssen keine Kind-Elemente +angegeben werden bzw. werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt. +<br /><br /> +Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server eine Client-Authentisierung +mittels Zertifikate, dann muss das Kind-Element <tt>ClientKeyStore</tt> spezifiziert werden, und es muss +eine URL enthalten, die einen PKCS#12-Keystore mittels URL-Schema 'file:' referenziert. +Diesem Keystore wird der private Schlüssel für die TLS-Client-Authentisierung entnommen. +Das Passwort zum Lesen des privaten Schlüssels wird im Attribut <tt>ClientKeyStore/@password</tt> konfiguriert.<br /> +Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung für MOA-ID darstellt, werden clientseitig nur die folgenden Cipher Suites unterstützt:<br/> +<ul> +<li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li> +<li><tt>SSL_RSA_WITH_RC4_128_MD5</tt></li> +<li><tt>SSL_RSA_WITH_3DES_EDE_CBC_SHA</tt></li> +</ul> +Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname angegeben werden, in dem die +akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. Dieses Verzeichnis wird mittels URL-Schema 'file:' referenziert. In diesem Verzeichnis werden nur Serverzertifikate +abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <tt><TrustedCACertificates></tt> angegebenen Zertifikaten erstellt werden kann. Falls dies nicht möglich ist, kommt es zu einem Fehlerfall. +</p> + + +<div id="AuthComponent" /> +<p id="block"> +<b>AuthComponent</b> <br /> +<tt>AuthComponent</tt> enthält Parameter, die nur die MOA-ID Authentisierungskomponente betreffen. +Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Authentisierungskomponente +installiert wird. +<br /><br /> +Das Element <tt>AuthComponent</tt> hat vier Kind-Element: +<ul> +<li><tt>BKUSelection</tt> (optional)</li> +<li><tt>SecurityLayer</tt></li> +<li><tt>MOA-SP</tt></li> +<li><tt>IdentityLinkSigners</tt></li> +</ul> +</p> + +<div id="BKUSelection" /> +<p id="block"> +<b>AuthComponent/BKUSelection</b> <br /> +Das optionale Element <tt>BKUSelection</tt> enthält Parameter zur Nutzung eines Auswahldienstes für eine +Bürgerkartenumgebung (BKU). Wird das Element nicht angegeben, dann wird die lokale Bürgerkartenumgebung +auf <tt>http://localhost:3495/http-security-layer-request</tt> verwendet. +<br /><br /> +Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID +unterstützt die Werte <tt>HTMLComplete</tt> (vollständige HTML-Auswahl) und <tt>HTMLSelect</tt> (HTML-Code für Auswahl) +[<a href="../bku-auswahl.20030408.pdf">"Auswahl von Bürgerkartenumge-bungen"</a>, Arno Hollosi]. +<br /><br /> +Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die Verbindung zum Auswahldienst (siehe +<a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>), jedoch kann das Kind-Element <tt>ClientKeyStore</tt> +nicht angegeben werden. +</p> + +<div id="SecurityLayer" /> +<p id="block"> +<b>AuthComponent/SecurityLayer</b> <br /> +Das Element <tt>SecurityLayer</tt> enthält Parameter zur Nutzung des Security-Layers. +<br /><br /> +Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine Transformation, die für die Erstellung der Signatur +des AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt> des Security-Layers integriert werden muss. +Mehrere unterschiedliche Implementierungen des Security-Layer können durch die Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterstützt werden. +<br /><br /> +Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf eine Datei, die das globale Element <tt>TransformsInfo</tt> vom Typ +<tt>TransformsInfo</tt> enthält. Das Encoding dieser Datei muss (anders als im Beispiel) UTF-8 sein. +<br /><br /> +<a href="examples/TransformsInfoAuthBlock.txt">Beispiel für eine TransformsInfo-Datei</a> +</p> + +<div id="MOA-SP" /> +<p id="block"> +<b>AuthComponent/MOA-SP</b> <br /> +Das Element <tt>MOA-SP</tt> enthält Parameter zur Nutzung von MOA-SP. MOA-SP wird für die überprüfung der Signatur +der Personenbindung und des AUTH-Blocks verwendet. +<br /><br /> +Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben, dann wird MOA-SP über das Webservice angesprochen, andernfalls +wird MOA-SP über das API angesprochen. +<br /><br /> +Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt> spezifiziert eine TrustProfileID, die für den +<tt>VerifyXMLSignatureRequest</tt> zur überprüfung der Signatur der Personenbindung verwendet werden muss. +<br /><br /> +Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt> und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt> +spezifizieren eine TrustProfileID und eine ID für ein Transformationsprofil, die für den +<tt>VerifyXMLSignatureRequest</tt> zur überprüfung der Signatur des Auth-Blocks verwendet werden müssen. +</p> + +<div id="IdentityLinkSigners" /> +<p id="block"> +<b>AuthComponent/IdentityLinkSigners</b> <br /> +Dieses Element gibt an von welchen Signatoren die Signatur des IdentityLink erstellt werden musste +damit der IdentityLink akzeptiert wird. Für jeden Signator muss der <tt>X509SubjectName</tt> nach RFC 2253 +spezifiziert werden. +<br /><br /> +<a href="examples/IdentityLinkSigners.txt">Beispiel</a> +<br /><br /> +</p> + +<div id="ProxyComponent" /> +<p id="block"> +<b>ProxyComponent</b> <br /> +<tt>ProxyComponent</tt> enthält Parameter, die nur die MOA-ID Proxykomponente betreffen. +Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Proxykomponente +installiert wird. +<br /><br /> +Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element <tt>AuthComponent</tt>, das die Verbindung zur +Authentisierungs-komponente beschreibt. +<br /><br /> +Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente +über ein Webservice auf, dann muss das Element <tt>ConnectionParameter</tt> spezifiziert werden. +<br /><br /> +Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente +über das API auf, dann wird das Element <tt>ConnectionParameter</tt> nicht spezifiziert. +</p> + +<div id="OnlineApplication" /> +<p id="block"> +<b>OnlineApplication</b> <br /> +Für jede Online-Applikation, die über MOA-ID authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>. +Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, teils die MOA-ID Proxykomponente, teils beide. +<br /><br /> +Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt> entspricht dem URL-Präfix der nach außen sichtbaren +Domäne der Online-Applikation, welcher von der MOA-ID Proxykomponente durch den URL-Präfix der wirklichen +Domäne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) ersetzt wird. +Es dient als Schlüssel zum Auffinden der Konfigurationsparameter zur Online-Applikation. +<br /><br /> +Das Element <tt>OnlineApplication</tt> hat optional zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>. +</p> + +<div id="OnlineApplication/AuthComponent" /> +<p id="block"> +<b>OnlineApplication/AuthComponent</b> <br /> +Das Element <tt>OnlineApplication/AuthComponent</tt> muss verwendet werden wenn auf dem Server die Authentisierungskomponente +installiert wird. Es enthält Parameter, die das Verhalten der Authentisierungskomponente bezüglich der Online-Applikation +konfiguriert. +<br /><br /> +Das Attribut <tt>provideZMRZahl</tt> bestimmt, ob die ZMR-Zahl in den Anmeldedaten aufscheint. +Analog steuern die Attribute <tt>provideAUTHBlock</tt> und <tt>provideIdentityLink</tt>, ob die Anmeldedaten +den Auth-Block bzw. die Personenbindung enthalten. Alle Attribute sind optional und haben den Default-Wert <tt>false</tt>. +<br /><br /> +</p> + +<div id="OnlineApplication/ProxyComponent" /> +<p id="block"> +<b>OnlineApplication/ProxyComponent</b> <br /> +Das Element <tt>OnlineApplication/ProxyComponent</tt> muss verwendet werden wenn auf dem Server die Proxykomponente +installiert wird. +<br /><br /> +Das optionale Attribut <tt>configFileURL</tt> verweist auf eine Konfigurationsdatei die dem Schema +<a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> entspricht mit Dokument-Element +<tt>Configuration</tt>.<br /> +Default-Wert: <tt>http://<realURLPrefix>/MOAConfig.xml</tt> +<br/>(<tt><realURLPrefix></tt> entspricht dem Wert von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) +<br /><br /> +Das optionale Attribut <tt>sessionTimeOut</tt> legt das Timeout einer Benutzersession in der +Proxykomponente in Sekunden fest.<br /> +Default-Wert: 3600 +<br /><br /> +Im optionalen Attribut <tt>loginParameterResolverImpl</tt> kann der Klassenname eines +zu verwendenden <tt>LoginParameterResolver</tt> angegeben werden, welcher die Defaultimplementierung ersetzt. +<br /><br /> +Im optionalen Attribut <tt>connectionBuilderImpl</tt> kann der Klassenname eines zu verwendenden +ConnectionBuilder angegeben werden, welcher die Defaultimplementierung ersetzt. +<br /><br /> +Im Kind-Element <tt>ConnectionParameter</tt> ist konfiguriert, wie MOA-ID-PROXY zur Online-Applikation verbindet. +</p> + +<div id="ChainingModes" /> +<p id="block"> +<b>ChainingModes</b><br /> +Das Element <tt>ChainingModes</tt> definiert, ob bei der Zertifikatspfad-überprüfung das Kettenmodell +(<tt>"chaining"</tt>) oder das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>) verwendet werden soll. +<br /><br /> +Das Attribut <tt>systemDefaultMode</tt> spezifiziert das Modell, das im Standardfall verwendet werden soll. +<br/><br/> +Mit dem Kind-Element <tt>TrustAnchor</tt> kann für jeden Trust Anchor ein abweichendes Modell spezifiziert werden. +Ein Trust Anchor ist ein Zertifikat, das in <tt>TrustedCACertificates</tt> spezifiziert ist. +Ein Trust Anchor wird durch den Typ <tt><dsig:X509IssuerSerialType></tt> spezifiziert. +Das für diesen Trust Anchor gültige Modell wird durch das Attribut <tt>mode</tt> spezifiziert. +<br/><br/> +Gültige Werte für die Attribute <tt>systemDefaultMode</tt> und <tt>mode</tt> sind <tt>"chaining"</tt> und <tt>"pkix"</tt>. +<br/><br/> +<a href="examples/ChainingModes.txt">Beispiel</a> +</p> + +<div id="TrustedCACertificates" /> +<p id="block"> +<b>TrustedCACertificates</b><br /> +Das Element <tt>TrustedCACertificates</tt> enthält eine URL, die auf ein Verzeichnis verweist, das jene Zertifikate +enthält, die als vertrauenswürdig betrachtet werden. Diese URL muss mittels URL-Schema 'file:' referenziert werden. Im Zuge der Überprüfung der TLS-Serverzertifikate wird die +Zertifikatspfaderstellung an einem dieser Zertifikate beendet. +</p> + +<div id="GenericConfiguration" /> +<p id="block"> +<b>GenericConfiguration</b><br /> +Das Element <tt>GenericConfiguration</tt> ermöglicht das Setzen von Namen-Werte Paaren mittels der Attribute +<tt>name</tt> und <tt>value</tt>. Die folgende Liste spezifiziert +<ul> +<li>gültige Werte für das name-Attribut, </li> +<li>eine Beschreibung </li> +<li>gültige Werte für das value-Attribut und (falls vorhanden)</li> +<li>den Default-Wert für das value-Attribut. </li> +</ul> + +<table border="0" cellspacing="3" cellpadding="2"> +<tr id="DirectoryCertStoreParameters.RootDir"><th align="left">name: DirectoryCertStoreParameters.RootDir</th></tr> +<tr><td id="info"> +Gibt den Pfadnamen zu einem Verzeichnis an, das als Zertifikatsspeicher im Zuge der TLS-Server-Zertifikatsüberprüfung +verwendet wird.<br /> +<hr /> +<b>value: </b><br /> +Gültige Werte: Name eines gültigen Verzeichnisses<br /> +<b>Dieser Parameter muss angegeben werden.</b> +</td></tr> +</table> + +<table border="0" cellspacing="3" cellpadding="2"> +<tr id="AuthenticationSession.TimeOut"><th align="left">name: AuthenticationSession.TimeOut</th></tr> +<tr><td id="info"> +Gibt die Zeitspanne in Sekunden vom Beginn der Authentisierung bis zum Anlegen der Anmeldedaten an. +Wird die Angegebene Zeitspanne überschritten wird der Anmeldevorgang abgebrochen. +<br /> +<hr /> +<b>value: </b><br /> +Gültige Werte: positive Ganzzahlen <br /> +Default-Wert: 120 +</td></tr> +</table> + +<table border="0" cellspacing="3" cellpadding="2"> +<tr id="AuthenticationData.TimeOut"><th align="left">name: AuthenticationData.TimeOut</th></tr> +<tr><td id="info"> +Gibt die Zeitspanne in Sekunden an, für die die Anmeldedaten in der Authentisierungskomponente zum Abholen +durch die Proxykomponente oder eine nachfolgende Applikation bereitstehen. Nach Ablauf dieser Zeitspanne werden die Anmeldedaten gelöscht.<br /> +<hr /> +<b>value: </b><br /> +Gültige Werte: positive Ganzzahlen<br /> +Default-Wert: 600 +</td></tr> +</table> + +<table border="0" cellspacing="3" cellpadding="2"> +<tr id="TrustManager.RevocationChecking"><th align="left">name: TrustManager.RevocationChecking</th></tr> +<tr><td id="info"> +Für die TLS-Server-Authentisierung dürfen nur Server-Zertifikate verwendet werden, die eine CRLDP-Extension enthalten (andernfalls kann von MOA-ID keine CRL-überprüfung durchgeführt werden). +<br />Soll das RevocationChecking generell ausgeschaltet werden, ist dieses Attribut anzugeben und auf "false" zu setzen. +<br /> +<hr /> +<b>value: </b><br /> +Gültige Werte: true, false<br /> +Default-Wert: true +</td></tr> +</table> + + +</td></tr></table> + + +<br /><br /> +<div id="oa-config" /> +<table width="650" border="0" cellpadding="10" cellspacing="0"> +<tr> +<td width="170" valign="top" id="klein"> +<p id="subtitel"> </p> +<div id="slogan"> +<br /><br /> +</div> +</td> +<td valign="top"> +<p id="subtitel">Konfiguration der Online-Applikation</p> +<div id="block"> +Die Konfiguration der OA beschreibt die Art und Weise, wie die Proxykomponente die Anmeldung an der Online-Applikation +durchführt. +<br /><br /> +Der Name der Konfigurationsdatei wird in der Konfiguration von MOA-ID als Wert des Attributs +<tt>configFileURL</tt> des Elements <tt>MOA-IDConfiguration/OnlineApplication/ProxyComponent</tt> hinterlegt. +<br/>Ist dieses Attribut nicht gesetzt, dann wird die Datei von <tt>http://<realURLPrefix>/MOAConfig.xml</tt> geladen, +wobei <tt><realURLPrefix></tt> dem Konfigurationswert <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt> entspricht. +<br /><br /> +Die Konfigurationsdatei ist eine XML-Datei, die dem Schema +<a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> mit dem Wurzelelement +<tt>Configuration</tt> entspricht. +</div> + +<div id="LoginType" /> +<p id="block"> +<b>LoginType</b><br /> +Das Element <tt>LoginType</tt> gibt an, ob die Online-Applikation ein einmaliges Login erwartet (<tt>stateful</tt>), +oder ob die Login-Parameter bei jedem Request mitgegeben werden müssen (<tt>stateless</tt>). Im Fall einer stateful +Online-Applikation werden die in der HTTP-Session der Proxykomponente gespeicherten Anmeldedaten nur für den Aufruf +des Login-Scripts verwendet. Unmittelbar nach dem Aufruf werden sie gelöscht. +<br /> +Default-Wert: <tt>stateful</tt> +</p> +</div> + +<div id="ParamAuth" /> +<p id="block"> +<b>ParamAuth</b><br /> +Konfiguriert die übergabe der Authentisierungs-Parameter an die Online-Applikation mittels URL-Parametern. Das Element +kann ein oder mehrere Kind-Elemente <tt><Parameter></tt> beinhalten. +</p> +</div> + +<div id="Parameter" /> +<p id="block"> +<b>ParamAuth/Parameter</b><br /> +Das Element <tt><Paramter></tt> enthält die Attribute <tt>Name</tt> und <tt>Value</tt>. +<br /><br /> +Das Attribut <tt>Name</tt> beschreibt den Namen des Parameters und ist ein frei zu wählender String. +<br /><br /> +Das Attribut <tt>Value</tt> beschreibt den Inhalt des Parameters und kann einen der durch <tt>MOAAuthDataType</tt> beschriebenen +Werte annehmen. Gültige Werte von <tt>MOAAuthDataType</tt> sind: +<ul> +<li><tt>MOAGivenName</tt> - der Vorname des Benutzers, wie in der Personenbindung enthalten +<li><tt>MOAFamilyName</tt> - der Nachname des Benutzers, wie in der Personenbindung enthalten +<li><tt>MOADateOfBirth</tt> - das Geburtsdatum des Benutzers, wie in der Personenbindung enthalten +<li><tt>MOAVPK</tt> - die verfahrensspezifische Personenkennzeichnung des Benutzers, wie von der +Authentisierungskomponente berechnet +<li><tt>MOAPublicAuthority</tt> - wird durch <tt>true</tt> ersetzt, falls der Benutzer mit einem Zertifikat signierte, +welches eine <a href="../CIO X509ext-20030218.pdf">Behördenerweiterung</a> beinhaltet. Andernfalls wird <tt>false</tt> gesetzt +<li><tt>MOABKZ</tt> - das Behördenkennzeichen (nur sinnvoll, wenn <tt>MOAPublicAuthority</tt> den Wert <tt>true</tt> +ergibt) +<li><tt>MOAQualifiedCertificate</tt> - wird durch <tt>true</tt> ersetzt, falls das Zertifikat des Benutzers +qualifiziert ist, andernfalls wird <tt>false</tt> gesetzt +<li><tt>MOAZMRZahl</tt> - die ZMR-Zahl des Benutzers; diese ist nur dann verfügbar, wenn die Online-Applikation +die ZMR-Zahl bekommen darf (und daher in der Personenbindung enthalten ist) +<li><tt>MOAIPAddress</tt> - IP-Adresse des Client des Benutzers. +</ul> + +Anhand der <tt><Parameter><tt>-Elemente wird der Request für den Login-Vorgang (für stateful Online-Applikationen) +folgendermaßen zusammenge-stellt:<br /> +<blockquote> +<code>GET https://<login-url>?<br /> + <p1.name=p1.resolvedValue>&<br /> + <p2.name=p2.resolvedValue>...</code> +</blockquote> +<p id="block"> +Die <tt><login-url></tt> ergibt sich aus dem Parameter OA des <a href="id-anwendung_1.htm">Aufrufs von MOA-ID-AUTH</a>, +zusammen mit der Konfiguration von <tt>OnlineApplication/@publicURLPrefix</tt> und von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>. +<br/>Der Wert <tt>resolvedValue</tt> wird in MOA-ID-PROXY je nach Wert des Platzhalters eingesetzt. +</p> +</div> +<div id="BasicAuth" /> +<p id="block"> +<b>BasicAuth</b><br /> +Das Element <tt>BasicAuth</tt> konfiguriert die übergabe der Authentisierungs-Parameter an die Online-Appliktion +mittels HTTP Basic Authentication. Es enthält zwei Kind-Elemente. +<br /><br /> +Das Element <tt>UserID</tt> gibt die UserId des zu authentisierenden Benutzers an und kann einen der durch +<tt>MOAAuthDataType</tt> beschriebenen Werte annehmen. +<br /><br /> +Das Element <tt>Password</tt> gibt das Passwort des zu authentisierenden Benutzers an und kann einen der durch +<tt>MOAAuthDataType</tt> beschriebenen Werte annehmen. +</p> +</div> + +<div id="HeaderAuth" /> +<p id="block"> +<b>HeaderAuth</b><br /> +Das Element <tt>HeaderAuth</tt> konfiguriert die übergabe der Authentisierungs-Parameter an die Online-Applikation +in HTTP Request Headern. Das Element kann ein oder mehrere Kind-Elemente <tt><Header></tt> beinhalten. +</p> +</div> + +<div id="Header" /> +<p id="block"> +<b>HeaderAuth/Header</b><br /> +Das Element <tt><Header></tt> enthält die Attribute Name und Value. +<br /><br /> +Das Attribut <tt>Name</tt> beschreibt den Namen des Header und ist ein frei zu wählender String. +<br /><br /> +Das Attribut <tt>Value</tt> beschreibt den Inhalt des Header und kann einen der durch <tt>MOAAuthDataType</tt> +beschriebenen Werte annehmen. +<br /><br /> +Die Header werden folgendermaßen in den Request an die Online-Applikation eingefügt: +<blockquote><pre> +<h1.name>:<h1.resolvedValue> +<h2.name>:<h2.resolvedValue> +... +</pre></blockquote> +Der Wert <tt>resolvedValue</tt> wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt. +Etwaige Header aus dem ursprünglichen Request an die Proxykomponente, die denselben Namen haben, müssen +überschrieben werden. +</p> +</div> +</td></tr></table> + + +<div id="sp-config" /> +<table width="650" border="0" cellpadding="10" cellspacing="0"> +<tr> +<td width="170" valign="top" id="klein"> +<p id="subtitel"> </p> +<div id="slogan"> +<br /><br /> +</div> +</td> +<td valign="top"> +<p id="subtitel">Konfiguration von MOA-SP</p> +<div id="block"> + +<p id="block"> +MOA-ID überprüft die Signaturen der Personenbindung und des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt> +von MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. +<br /><br /> +Ein Auszug einer beispielhaften MOA-SP Konfigurationsdatei, die diese Konfigurationsparameter enthält ist in +<tt>$MOA_ID_INST_AUTH/conf/moa-spss/ SampleMOASPSSConfiguration.xml</tt> enthalten. + +</p> + +<div id="verifytransformsInfoProfile" /> +<p id="block"> +<b>VerifyTransformsInfoProfile</b><br /> +Der Request zum überprüfen der Signatur des AUTH-Blocks verwendet ein vordefiniertes VerifyTransformsInfoProfile. +Die im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei +im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ VerifyTransformsInfoProfileID</tt> definiert. +Entsprechend muss am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender ID definiert werden. Die +Profiledefinition selbst ist in der Auslieferung von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt> +enthalten. Diese Profildefinition muss unverändert übernommen werden. +</p> +</div> + +<div id="trustProfile" /> +<p id="block"> +<b>TrustProfile</b><br /> +Die Requests zur überprüfung der Signatur verwenden vordefinierte TrustProfile. +Die im Request verwendete Profil-IDs werden in der MOA-ID Konfigurationsdatei +in den Elementen <tt>/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyIdentityLink/ TrustProfileID</tt> und +<tt>/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyAuthBlock/TrustProfileID</tt> definiert. Diese beiden Elemente +können unterschiedliche oder identische TrustProfileIDs enthalten. +Am MOA-SP Server müssen TrustProfile mit gleichlautender ID definiert werden. +Die Auslieferung von MOA-ID enthält das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/trustprofiles/MOAIDBuergerkarteRoot</tt>, +das als TrustProfile verwendet werden kann. Weitere Zertifikate können als vertrauenswürdig hinzugefügt werden. +</p> +</div> + +<div id="certstore" /> +<p id="block"> +<b>Certstore</b><br /> +Zum Aufbau eines Zertifikatspfades können benötigte Zertifikate aus einem Zertifikatsspeicher verwendet werden. +Die Auslieferung von MOA-ID enthält das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/certstore</tt>, das als initialer +Zertifikatsspeicher verwendet werden kann. +</p> +</div> + +</div> +</td></tr></table> + + +<div id="online-config" /> +<table width="650" border="0" cellpadding="10" cellspacing="0"> +<tr> +<td width="170" valign="top" id="klein"> +<p id="subtitel"> </p> +<div id="slogan"> +<br /><br /> +</div> +</td> +<td valign="top"> +<p id="subtitel">Änderung der Konfiguration während des Betriebs</p> +<div id="block"> +Der Inhalt dieser Konfiguration, bzw. jene Teile, auf die indirekt verwiesen wird, können während des laufenden +Betriebes des MOA-Servers geändert werden. Der Server selbst wird durch den Aufruf einer <a href="id-admin_1.htm#ConfigUpdate">URL</a> +(im Applikationskontext von MOA ID) dazu veranlasst, die geänderte Konfiguration neu einzulesen. +Im Falle einer fehlerhaften neuen Konfiguration wird die ursprüngliche Konfiguration beibehalten. +</div> + + +</td></tr></table> +<br /><br /> + + + +<table width="650" border="0" cellpadding="10" cellspacing="0"> +<tr> +<td width="170" valign="top"><br /></td> +<td valign="top"> +<hr /> +<div style="font-size:8pt; color:#909090">© 2003 <!-- Development Center, BRZ GmbH --></div> +</td></tr></table> +<br /> + + +</div> +</body> +</html>
\ No newline at end of file |