diff options
Diffstat (limited to 'id.server/doc/moa_id/id-admin_2.htm')
| -rw-r--r-- | id.server/doc/moa_id/id-admin_2.htm | 809 |
1 files changed, 505 insertions, 304 deletions
diff --git a/id.server/doc/moa_id/id-admin_2.htm b/id.server/doc/moa_id/id-admin_2.htm index b4e22a36b..3bf2a6892 100644 --- a/id.server/doc/moa_id/id-admin_2.htm +++ b/id.server/doc/moa_id/id-admin_2.htm @@ -110,286 +110,490 @@ Projekt <span style="font-size:48pt; ">moa</span>  </td> -<td valign="top"> -<div id="titel">Konfiguration von MOA ID v.1.1</div> - -<div id="moaid-konfiguration" /> -<p id="subtitel">Konfiguration von MOA ID v.1.1</p> -<p id="block"> -Die Konfiguration von MOA ID wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema -<a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> entspricht, durchgeführt. -<p /> -Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment der Web-Applikation -in Tomcat</a> beschrieben. -<p /> -Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. -<a href="examples/conf/MOA-ID-Configuration.xml" target="_new">MOA-ID-Configuration.xml</a> zeigt ein Beispiel -für eine umfassende Konfigurationsdatei. -</p> -Enthält die Konfigurationsdatei relative Pfadangaben, werden diese relativ zum Verzeichnis, in dem Tomcat gestartet wurde, interpretiert. - -<div id="ConnectionParameter" /> -<p id="block"> -<b>ConnectionParameter</b> <br /> -Das Element <tt>ConnectionParameter</tt> enthält Parameter, die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten -benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei auf und wird daher vorab detailliert beschrieben. -<br /><br /> -Das Attribut <tt>URL</tt> enthält die URL der Komponente zu der die Verbindung aufgebaut werden soll. -Wird das Schema <tt>https</tt> verwendet, können die Kind-Elemente <tt>AcceptedServerCertificates</tt> -und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt> verwendet müssen keine Kind-Elemente -angegeben werden bzw. werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt. -<br /><br /> -Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server eine Client-Authentisierung -mittels Zertifikate, dann muss das Kind-Element <tt>ClientKeyStore</tt> spezifiziert werden, und es muss -eine URL enthalten, die einen PKCS#12-Keystore mittels URL-Schema 'file:' referenziert. -Diesem Keystore wird der private Schlüssel für die TLS-Client-Authentisierung entnommen. -Das Passwort zum Lesen des privaten Schlüssels wird im Attribut <tt>ClientKeyStore/@password</tt> konfiguriert.<br /> -Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung für MOA-ID darstellt, werden clientseitig nur die folgenden Cipher Suites unterstützt:<br/> -<ul> -<li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li> -<li><tt>SSL_RSA_WITH_RC4_128_MD5</tt></li> -<li><tt>SSL_RSA_WITH_3DES_EDE_CBC_SHA</tt></li> -</ul> -Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname angegeben werden, in dem die -akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. Dieses Verzeichnis wird mittels URL-Schema 'file:' referenziert. In diesem Verzeichnis werden nur Serverzertifikate -abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <tt><TrustedCACertificates></tt> angegebenen Zertifikaten erstellt werden kann. Falls dies nicht möglich ist, kommt es zu einem Fehlerfall. -</p> - - -<div id="AuthComponent" /> -<p id="block"> -<b>AuthComponent</b> <br /> -<tt>AuthComponent</tt> enthält Parameter, die nur die MOA-ID Authentisierungskomponente betreffen. -Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Authentisierungskomponente -installiert wird. -<br /><br /> -Das Element <tt>AuthComponent</tt> hat vier Kind-Element: -<ul> -<li><tt>BKUSelection</tt> (optional)</li> -<li><tt>SecurityLayer</tt></li> -<li><tt>MOA-SP</tt></li> -<li><tt>IdentityLinkSigners</tt></li> -</ul> -</p> - -<div id="BKUSelection" /> -<p id="block"> -<b>AuthComponent/BKUSelection</b> <br /> -Das optionale Element <tt>BKUSelection</tt> enthält Parameter zur Nutzung eines Auswahldienstes für eine -Bürgerkartenumgebung (BKU). Wird das Element nicht angegeben, dann wird die lokale Bürgerkartenumgebung -auf <tt>http://localhost:3495/http-security-layer-request</tt> verwendet. -<br /><br /> -Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID -unterstützt die Werte <tt>HTMLComplete</tt> (vollständige HTML-Auswahl) und <tt>HTMLSelect</tt> (HTML-Code für Auswahl) -[<a href="../bku-auswahl.20030408.pdf">"Auswahl von Bürgerkartenumge-bungen"</a>, Arno Hollosi]. -<br /><br /> -Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die Verbindung zum Auswahldienst (siehe -<a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>), jedoch kann das Kind-Element <tt>ClientKeyStore</tt> -nicht angegeben werden. -</p> - -<div id="SecurityLayer" /> -<p id="block"> -<b>AuthComponent/SecurityLayer</b> <br /> -Das Element <tt>SecurityLayer</tt> enthält Parameter zur Nutzung des Security-Layers. -<br /><br /> -Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine Transformation, die für die Erstellung der Signatur -des AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt> des Security-Layers integriert werden muss. -Mehrere unterschiedliche Implementierungen des Security-Layer können durch die Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterstützt werden. -<br /><br /> -Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf eine Datei, die das globale Element <tt>TransformsInfo</tt> vom Typ -<tt>TransformsInfo</tt> enthält. Das Encoding dieser Datei muss (anders als im Beispiel) UTF-8 sein. -<br /><br /> -<a href="examples/TransformsInfoAuthBlock.txt">Beispiel für eine TransformsInfo-Datei</a> -</p> - -<div id="MOA-SP" /> -<p id="block"> -<b>AuthComponent/MOA-SP</b> <br /> -Das Element <tt>MOA-SP</tt> enthält Parameter zur Nutzung von MOA-SP. MOA-SP wird für die überprüfung der Signatur -der Personenbindung und des AUTH-Blocks verwendet. -<br /><br /> -Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben, dann wird MOA-SP über das Webservice angesprochen, andernfalls -wird MOA-SP über das API angesprochen. -<br /><br /> -Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt> spezifiziert eine TrustProfileID, die für den -<tt>VerifyXMLSignatureRequest</tt> zur überprüfung der Signatur der Personenbindung verwendet werden muss. -<br /><br /> -Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt> und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt> -spezifizieren eine TrustProfileID und eine ID für ein Transformationsprofil, die für den -<tt>VerifyXMLSignatureRequest</tt> zur überprüfung der Signatur des Auth-Blocks verwendet werden müssen. -</p> - -<div id="IdentityLinkSigners" /> -<p id="block"> -<b>AuthComponent/IdentityLinkSigners</b> <br /> -Dieses Element gibt an von welchen Signatoren die Signatur des IdentityLink erstellt werden musste -damit der IdentityLink akzeptiert wird. Für jeden Signator muss der <tt>X509SubjectName</tt> nach RFC 2253 -spezifiziert werden. -<br /><br /> -<a href="examples/IdentityLinkSigners.txt">Beispiel</a> -<br /><br /> -</p> - -<div id="ProxyComponent" /> -<p id="block"> -<b>ProxyComponent</b> <br /> -<tt>ProxyComponent</tt> enthält Parameter, die nur die MOA-ID Proxykomponente betreffen. -Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Proxykomponente -installiert wird. -<br /><br /> -Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element <tt>AuthComponent</tt>, das die Verbindung zur -Authentisierungs-komponente beschreibt. -<br /><br /> -Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente -über ein Webservice auf, dann muss das Element <tt>ConnectionParameter</tt> spezifiziert werden. -<br /><br /> -Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente -über das API auf, dann wird das Element <tt>ConnectionParameter</tt> nicht spezifiziert. -</p> - -<div id="OnlineApplication" /> -<p id="block"> -<b>OnlineApplication</b> <br /> -Für jede Online-Applikation, die über MOA-ID authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>. -Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, teils die MOA-ID Proxykomponente, teils beide. -<br /><br /> -Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt> entspricht dem URL-Präfix der nach außen sichtbaren -Domäne der Online-Applikation, welcher von der MOA-ID Proxykomponente durch den URL-Präfix der wirklichen -Domäne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) ersetzt wird. -Es dient als Schlüssel zum Auffinden der Konfigurationsparameter zur Online-Applikation. -<br /><br /> -Das Element <tt>OnlineApplication</tt> hat optional zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>. -</p> - -<div id="OnlineApplication/AuthComponent" /> -<p id="block"> -<b>OnlineApplication/AuthComponent</b> <br /> -Das Element <tt>OnlineApplication/AuthComponent</tt> muss verwendet werden wenn auf dem Server die Authentisierungskomponente -installiert wird. Es enthält Parameter, die das Verhalten der Authentisierungskomponente bezüglich der Online-Applikation -konfiguriert. -<br /><br /> -Das Attribut <tt>provideZMRZahl</tt> bestimmt, ob die ZMR-Zahl in den Anmeldedaten aufscheint. -Analog steuern die Attribute <tt>provideAUTHBlock</tt> und <tt>provideIdentityLink</tt>, ob die Anmeldedaten -den Auth-Block bzw. die Personenbindung enthalten. Alle Attribute sind optional und haben den Default-Wert <tt>false</tt>. -<br /><br /> -</p> - -<div id="OnlineApplication/ProxyComponent" /> -<p id="block"> -<b>OnlineApplication/ProxyComponent</b> <br /> -Das Element <tt>OnlineApplication/ProxyComponent</tt> muss verwendet werden wenn auf dem Server die Proxykomponente -installiert wird. -<br /><br /> -Das optionale Attribut <tt>configFileURL</tt> verweist auf eine Konfigurationsdatei die dem Schema -<a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> entspricht mit Dokument-Element -<tt>Configuration</tt>.<br /> -Default-Wert: <tt>http://<realURLPrefix>/MOAConfig.xml</tt> -<br/>(<tt><realURLPrefix></tt> entspricht dem Wert von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) -<br /><br /> -Das optionale Attribut <tt>sessionTimeOut</tt> legt das Timeout einer Benutzersession in der -Proxykomponente in Sekunden fest.<br /> -Default-Wert: 3600 -<br /><br /> -Im optionalen Attribut <tt>loginParameterResolverImpl</tt> kann der Klassenname eines -zu verwendenden <tt>LoginParameterResolver</tt> angegeben werden, welcher die Defaultimplementierung ersetzt. -<br /><br /> -Im optionalen Attribut <tt>connectionBuilderImpl</tt> kann der Klassenname eines zu verwendenden -ConnectionBuilder angegeben werden, welcher die Defaultimplementierung ersetzt. -<br /><br /> -Im Kind-Element <tt>ConnectionParameter</tt> ist konfiguriert, wie MOA-ID-PROXY zur Online-Applikation verbindet. -</p> - -<div id="ChainingModes" /> -<p id="block"> -<b>ChainingModes</b><br /> -Das Element <tt>ChainingModes</tt> definiert, ob bei der Zertifikatspfad-überprüfung das Kettenmodell -(<tt>"chaining"</tt>) oder das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>) verwendet werden soll. -<br /><br /> -Das Attribut <tt>systemDefaultMode</tt> spezifiziert das Modell, das im Standardfall verwendet werden soll. -<br/><br/> -Mit dem Kind-Element <tt>TrustAnchor</tt> kann für jeden Trust Anchor ein abweichendes Modell spezifiziert werden. -Ein Trust Anchor ist ein Zertifikat, das in <tt>TrustedCACertificates</tt> spezifiziert ist. -Ein Trust Anchor wird durch den Typ <tt><dsig:X509IssuerSerialType></tt> spezifiziert. -Das für diesen Trust Anchor gültige Modell wird durch das Attribut <tt>mode</tt> spezifiziert. -<br/><br/> -Gültige Werte für die Attribute <tt>systemDefaultMode</tt> und <tt>mode</tt> sind <tt>"chaining"</tt> und <tt>"pkix"</tt>. -<br/><br/> -<a href="examples/ChainingModes.txt">Beispiel</a> -</p> - -<div id="TrustedCACertificates" /> -<p id="block"> -<b>TrustedCACertificates</b><br /> -Das Element <tt>TrustedCACertificates</tt> enthält eine URL, die auf ein Verzeichnis verweist, das jene Zertifikate -enthält, die als vertrauenswürdig betrachtet werden. Diese URL muss mittels URL-Schema 'file:' referenziert werden. Im Zuge der Überprüfung der TLS-Serverzertifikate wird die -Zertifikatspfaderstellung an einem dieser Zertifikate beendet. -</p> - -<div id="GenericConfiguration" /> -<p id="block"> -<b>GenericConfiguration</b><br /> -Das Element <tt>GenericConfiguration</tt> ermöglicht das Setzen von Namen-Werte Paaren mittels der Attribute -<tt>name</tt> und <tt>value</tt>. Die folgende Liste spezifiziert -<ul> -<li>gültige Werte für das name-Attribut, </li> -<li>eine Beschreibung </li> -<li>gültige Werte für das value-Attribut und (falls vorhanden)</li> -<li>den Default-Wert für das value-Attribut. </li> -</ul> - -<table border="0" cellspacing="3" cellpadding="2"> -<tr id="DirectoryCertStoreParameters.RootDir"><th align="left">name: DirectoryCertStoreParameters.RootDir</th></tr> -<tr><td id="info"> -Gibt den Pfadnamen zu einem Verzeichnis an, das als Zertifikatsspeicher im Zuge der TLS-Server-Zertifikatsüberprüfung -verwendet wird.<br /> -<hr /> -<b>value: </b><br /> -Gültige Werte: Name eines gültigen Verzeichnisses<br /> -<b>Dieser Parameter muss angegeben werden.</b> -</td></tr> -</table> - -<table border="0" cellspacing="3" cellpadding="2"> -<tr id="AuthenticationSession.TimeOut"><th align="left">name: AuthenticationSession.TimeOut</th></tr> -<tr><td id="info"> -Gibt die Zeitspanne in Sekunden vom Beginn der Authentisierung bis zum Anlegen der Anmeldedaten an. -Wird die Angegebene Zeitspanne überschritten wird der Anmeldevorgang abgebrochen. -<br /> -<hr /> -<b>value: </b><br /> -Gültige Werte: positive Ganzzahlen <br /> -Default-Wert: 120 -</td></tr> -</table> - -<table border="0" cellspacing="3" cellpadding="2"> -<tr id="AuthenticationData.TimeOut"><th align="left">name: AuthenticationData.TimeOut</th></tr> -<tr><td id="info"> -Gibt die Zeitspanne in Sekunden an, für die die Anmeldedaten in der Authentisierungskomponente zum Abholen -durch die Proxykomponente oder eine nachfolgende Applikation bereitstehen. Nach Ablauf dieser Zeitspanne werden die Anmeldedaten gelöscht.<br /> -<hr /> -<b>value: </b><br /> -Gültige Werte: positive Ganzzahlen<br /> -Default-Wert: 600 -</td></tr> -</table> - -<table border="0" cellspacing="3" cellpadding="2"> -<tr id="TrustManager.RevocationChecking"><th align="left">name: TrustManager.RevocationChecking</th></tr> -<tr><td id="info"> -Für die TLS-Server-Authentisierung dürfen nur Server-Zertifikate verwendet werden, die eine CRLDP-Extension enthalten (andernfalls kann von MOA-ID keine CRL-überprüfung durchgeführt werden). -<br />Soll das RevocationChecking generell ausgeschaltet werden, ist dieses Attribut anzugeben und auf "false" zu setzen. -<br /> -<hr /> -<b>value: </b><br /> -Gültige Werte: true, false<br /> -Default-Wert: true -</td></tr> -</table> - - -</td></tr></table> + <td valign="top"> + <div id="titel">Konfiguration von MOA ID v.1.1</div> + <div id="moaid-konfiguration" /> + <p id="subtitel">Konfiguration von MOA ID v.1.1</p> + <p id="block"> Die Konfiguration von MOA ID wird mittels einer XML-basierten + Konfigurationsdatei, die dem Schema <a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> + entspricht, durchgeführt. + <p /> Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment + der Web-Applikation in Tomcat</a> beschrieben. + <p /> Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. + <a href="examples/conf/MOA-ID-Configuration.xml" target="_new">MOA-ID-Configuration.xml</a> + zeigt ein Beispiel für eine umfassende Konfigurationsdatei. </p> + <p>Enthält die Konfigurationsdatei relative Pfadangaben, werden + diese relativ zum Verzeichnis, in dem sich die MOA-ID Konfigurationsdatei + befindet, interpretiert.<br> + </p> + <div id="ConnectionParameter" /> + <p id="block"> <b>ConnectionParameter</b> <br /> + Das Element <tt>ConnectionParameter</tt> enthält Parameter, + die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten + benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei + auf und wird daher vorab detailliert beschrieben. <br /> + <br /> + Das Attribut <tt>URL</tt> enthält die URL der Komponente zu + der die Verbindung aufgebaut werden soll. Wird das Schema <tt>https</tt> + verwendet, können die Kind-Elemente <tt>AcceptedServerCertificates</tt> + und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt> + verwendet müssen keine Kind-Elemente angegeben werden bzw. + werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt. + <br /> + <br /> + Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server + eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element + <tt>ClientKeyStore</tt> spezifiziert werden. Im Element <tt>ClientKeyStore</tt> + wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei) + angegeben. Diesem Keystore wird der private Schlüssel für + die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen + des privaten Schlüssels wird im Attribut <tt>ClientKeyStore/@password</tt> + konfiguriert.<br /> + Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung + für MOA-ID darstellt, werden clientseitig nur die folgenden + Cipher Suites unterstützt:<br/> + <ul> + <li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li> + <li><tt>SSL_RSA_WITH_RC4_128_MD5</tt></li> + <li><tt>SSL_RSA_WITH_3DES_EDE_CBC_SHA</tt></li> + </ul> + Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname + (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem + die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In + diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser + Parameter wird lediglich überprüft ob ein Zertifikatspfad + zu den im Element <tt><TrustedCACertificates></tt> angegebenen + Zertifikaten erstellt werden kann. Falls dies nicht möglich ist, + kommt es zu einem Fehlerfall. + <p></p> + <div id="AuthComponent" /> + <p id="block"> <b>AuthComponent</b> <br /> + <tt>AuthComponent</tt> enthält Parameter, die nur die MOA-ID + Authentisierungskomponente betreffen. Das Element ist optional + und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID + Authentisierungskomponente installiert wird. <br /> + <br /> + Das Element <tt>AuthComponent</tt> hat vier Kind-Element: + <ul> + <li><tt>BKUSelection</tt> (optional)</li> + <li><tt>SecurityLayer</tt></li> + <li><tt>MOA-SP</tt></li> + <li><tt>IdentityLinkSigners</tt></li> + </ul> + <p></p> + <div id="BKUSelection" /> + <p id="block"> <b>AuthComponent/BKUSelection</b> <br /> + Das optionale Element <tt>BKUSelection</tt> enthält Parameter + zur Nutzung eines Auswahldienstes für eine Bürgerkartenumgebung + (BKU). Wird das Element nicht angegeben, dann wird die lokale + Bürgerkartenumgebung auf <tt>http://localhost:3495/http-security-layer-request</tt> + verwendet. <br /> + <br /> + Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche + Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterstützt + die Werte <tt>HTMLComplete</tt> (vollständige HTML-Auswahl) + und <tt>HTMLSelect</tt> (HTML-Code für Auswahl) [<a href="../bku-auswahl.20030408.pdf">"Auswahl + von Bürgerkartenumge-bungen"</a>, Arno Hollosi]. <br /> + <br /> + Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die + Verbindung zum Auswahldienst (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>), + jedoch kann das Kind-Element <tt>ClientKeyStore</tt> nicht angegeben + werden. </p> + <div id="SecurityLayer" /> + <p id="block"> <b>AuthComponent/SecurityLayer</b> <br /> + Das Element <tt>SecurityLayer</tt> enthält Parameter + zur Nutzung des Security-Layers. <br /> + <br /> + Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine + Transformation, die für die Erstellung der Signatur des + AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt> + des Security-Layers integriert werden muss. Mehrere unterschiedliche + Implementierungen des Security-Layer können durch die + Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterstützt + werden. <br /> + <br /> + Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf + eine Datei, die das globale Element <tt>TransformsInfo</tt> + vom Typ <tt>TransformsInfo</tt> enthält. Die Angabe erfolgt + relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser + Datei muss (anders als im Beispiel) UTF-8 sein. <br /> + <br /> + <a href="examples/TransformsInfoAuthBlock.txt">Beispiel für + eine TransformsInfo-Datei</a> </p> + <div id="MOA-SP" /> + <p id="block"> <b>AuthComponent/MOA-SP</b> <br /> + Das Element <tt>MOA-SP</tt> enthält Parameter zur Nutzung + von MOA-SP. MOA-SP wird für die überprüfung + der Signatur der Personenbindung und des AUTH-Blocks verwendet. + <br /> + <br /> + Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben, + dann wird MOA-SP über das Webservice angesprochen.</p> + <p id="block">Wird das Kind-Element <tt>ConnectionParameter</tt> + nicht angegeben so wird eine MOA-ID beiligende Version von + MOA-SP direkt über das Java-API angesprochen. In diesem + Fall muss das System-Property auf die verwendete Konfigurationsdatei + von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei + ist in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml</tt> + enthalten. </p> + </div> + </div> + </div> + </div> + </div> + </div> + <div id="moaid-konfiguration" /> + <div id="ConnectionParameter" /> + <div id="AuthComponent" /> + <div id="BKUSelection" /> + <div id="SecurityLayer" /> + <div id="MOA-SP" /> + <div id="verifytransformsInfoProfile" /> + <p><b><i>Hinweis:</i></b><i> MOA-SP muss entsprechend konfiguriert + werden - siehe hierzu Abschnitt <a href="#sp-config">Konfiguration + von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP + finden sie in der Distribution von MOA-SP/SS beiligenden + Dokumentation im Abschnitt 'Konfiguration'.<br> + </i><br /> + Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt> + spezifiziert eine TrustProfileID, die für den <tt>VerifyXMLSignatureRequest</tt> + zur Überprüfung der Signatur der Personenbindung + verwendet werden muss. Diese TrustProfileID muss beim + verwendeten MOA-SP Modul konfiguriert sein.<br /> + <br /> + Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt> + und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt> + spezifizieren eine TrustProfileID und eine ID für + ein Transformationsprofil, die für den <tt>VerifyXMLSignatureRequest</tt> + zur überprüfung der Signatur des Auth-Blocks + verwendet werden müssen. Diese TrustProfileID muss + beim verwendeten MOA-SP Modul konfiguriert sein.</p> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + <div id="moaid-konfiguration" /> + <div id="ConnectionParameter" /> + <div id="AuthComponent" /> + <div id="BKUSelection" /> + <div id="SecurityLayer" /> + <div id="MOA-SP" /> + <div id="IdentityLinkSigners" /> + <p id="block"> <b>AuthComponent/IdentityLinkSigners</b> + <br /> + Dieses Element gibt an von welchen Signatoren die Signatur + des IdentityLink erstellt werden musste damit der IdentityLink + akzeptiert wird. Für jeden Signator muss der <tt>X509SubjectName</tt> + nach RFC 2253 spezifiziert werden. <br /> + <br /> + <a href="examples/IdentityLinkSigners.txt">Beispiel</a> + <br /> + <br /> + </p> + <div id="ProxyComponent" /> + <p id="block"> <b>ProxyComponent</b> <br /> + <tt>ProxyComponent</tt> enthält Parameter, die + nur die MOA-ID Proxykomponente betreffen. Das Element + ist optional und muss nicht verwendet werden, wenn auf + dem Server keine MOA-ID Proxykomponente installiert + wird. <br /> + <br /> + Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element + <tt>AuthComponent</tt>, das die Verbindung zur Authentisierungs-komponente + beschreibt. <br /> + <br /> + Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente + über ein Webservice auf, dann muss das Element + <tt>ConnectionParameter</tt> spezifiziert werden. <br /> + <br /> + Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente + über das API auf, dann wird das Element <tt>ConnectionParameter</tt> + nicht spezifiziert. </p> + <div id="OnlineApplication" /> + <p id="block"> <b>OnlineApplication</b> <br /> + Für jede Online-Applikation, die über MOA-ID + authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>. + Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, + teils die MOA-ID Proxykomponente, teils beide. <br /> + <br /> + Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt> + entspricht dem URL-Präfix der nach außen + sichtbaren Domäne der Online-Applikation, welcher + von der MOA-ID Proxykomponente durch den URL-Präfix + der wirklichen Domäne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) + ersetzt wird. Es dient als Schlüssel zum Auffinden + der Konfigurationsparameter zur Online-Applikation. + <br /> + <br /> + Das Element <tt>OnlineApplication</tt> hat optional + zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>. + </p> + <div id="OnlineApplication/AuthComponent" /> + <p id="block"> <b>OnlineApplication/AuthComponent</b> + <br /> + Das Element <tt>OnlineApplication/AuthComponent</tt> + muss verwendet werden wenn auf dem Server die Authentisierungskomponente + installiert wird. Es enthält Parameter, die + das Verhalten der Authentisierungskomponente bezüglich + der Online-Applikation konfiguriert. <br /> + <br /> + Das Attribut <tt>provideZMRZahl</tt> bestimmt, ob + die ZMR-Zahl in den Anmeldedaten aufscheint. Analog + steuern die Attribute <tt>provideAUTHBlock</tt> + und <tt>provideIdentityLink</tt>, ob die Anmeldedaten + den Auth-Block bzw. die Personenbindung enthalten. + Alle Attribute sind optional und haben den Default-Wert + <tt>false</tt>. <br /> + <br /> + </p> + <div id="OnlineApplication/ProxyComponent" /> + <p id="block"> <b>OnlineApplication/ProxyComponent</b> + <br /> + Das Element <tt>OnlineApplication/ProxyComponent</tt> + muss verwendet werden wenn auf dem Server die + Proxykomponente installiert wird. <br /> + <br /> + Das optionale Attribut <tt>configFileURL</tt> + verweist auf eine Konfigurationsdatei die dem + Schema <a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> + entspricht mit Dokument-Element <tt>Configuration</tt>. + Die Angabe erfolgt relativ zur verwendeten MOA-ID + Konfigurationsdatei. Beispiel für das Element + <tt>configFileURL</tt>: "oa/SampleOAConfiguration.xml".<br /> + Defaultmäßig wird versucht die Datei + von der betreffenden OnlineApplikation unter dem + Wert: <tt>http://<realURLPrefix>/MOAConfig.xml</tt> + zu laden.<br/> + (<tt><realURLPrefix></tt> entspricht dem + Wert von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) + <br /> + <br /> + Das optionale Attribut <tt>sessionTimeOut</tt> + legt das Timeout einer Benutzersession in der + Proxykomponente in Sekunden fest.<br /> + Default-Wert: 3600 <br /> + <br /> + Im optionalen Attribut <tt>loginParameterResolverImpl</tt> + kann der Klassenname eines zu verwendenden <tt>LoginParameterResolver</tt> + angegeben werden, welcher die Defaultimplementierung + ersetzt. <br /> + </p> + <p id="block">Im optionelen Attribut <tt>loginParameterResolverConfiguration + </tt>kann ein Configurationsstring für die + Initialisierung der betreffenden <tt>loginParameterResolverImpl</tt> + angegeben werden.<br> + <br /> + Im optionalen Attribut <tt>connectionBuilderImpl</tt> + kann der Klassenname eines zu verwendenden ConnectionBuilder + angegeben werden, welcher die Defaultimplementierung + ersetzt. <br /> + <br /> + Im Kind-Element <tt>ConnectionParameter</tt> ist + konfiguriert, wie MOA-ID-PROXY zur Online-Applikation + verbindet. </p> + <div id="ChainingModes" /> + <p id="block"> <b>ChainingModes</b><br /> + Das Element <tt>ChainingModes</tt> definiert, + ob bei der Zertifikatspfad-überprüfung + das Kettenmodell (<tt>"chaining"</tt>) oder + das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>) + verwendet werden soll. <br /> + <br /> + Das Attribut <tt>systemDefaultMode</tt> spezifiziert + das Modell, das im Standardfall verwendet werden + soll. <br/> + <br/> + Mit dem Kind-Element <tt>TrustAnchor</tt> kann + für jeden Trust Anchor ein abweichendes + Modell spezifiziert werden. Ein Trust Anchor + ist ein Zertifikat, das in <tt>TrustedCACertificates</tt> + spezifiziert ist. Ein Trust Anchor wird durch + den Typ <tt><dsig:X509IssuerSerialType></tt> + spezifiziert. Das für diesen Trust Anchor + gültige Modell wird durch das Attribut + <tt>mode</tt> spezifiziert. <br/> + <br/> + Gültige Werte für die Attribute <tt>systemDefaultMode</tt> + und <tt>mode</tt> sind <tt>"chaining"</tt> und + <tt>"pkix"</tt>. <br/> + <br/> + <a href="examples/ChainingModes.txt">Beispiel</a> + </p> + <div id="TrustedCACertificates" /> + <p id="block"> <b>TrustedCACertificates</b><br /> + Das Element <tt>TrustedCACertificates</tt> + enthält das Verzeichnis (relativ zur + MOA-ID Konfigurationsdatei), das jene Zertifikate + enthält, die als vertrauenswürdig + betrachtet werden. Im Zuge der Überprüfung + der TLS-Serverzertifikate wird die Zertifikatspfaderstellung + an einem dieser Zertifikate beendet. </p> + <div id="GenericConfiguration" /> + <p id="block"> <b>GenericConfiguration</b><br /> + Das Element <tt>GenericConfiguration</tt> + ermöglicht das Setzen von Namen-Werte + Paaren mittels der Attribute <tt>name</tt> + und <tt>value</tt>. Die folgende Liste spezifiziert + <ul> + <li>gültige Werte für das name-Attribut, + </li> + <li>eine Beschreibung </li> + <li>gültige Werte für das value-Attribut + und (falls vorhanden)</li> + <li>den Default-Wert für das value-Attribut. + </li> + </ul> + <table border="0" cellspacing="3" cellpadding="2"> + <tr id="DirectoryCertStoreParameters.RootDir"> + <th align="left">name: DirectoryCertStoreParameters.RootDir</th> + </tr> + <tr> + <td id="info"> Gibt den Pfadnamen zu einem + Verzeichnis an, das als Zertifikatsspeicher + im Zuge der TLS-Server-Zertifikatsüberprüfung + verwendet wird.<br /> + <hr /> + <b>value: </b><br /> + Gültige Werte: Name eines gültigen + Verzeichnisses (relativ zur MOA-ID Konfigurationsdatei)<br /> + <b>Dieser Parameter muss angegeben werden.</b> + </td> + </tr> + </table> + <table border="0" cellspacing="3" cellpadding="2"> + <tr id="AuthenticationSession.TimeOut"> + <th align="left">name: AuthenticationSession.TimeOut</th> + </tr> + <tr> + <td id="info"> Gibt die Zeitspanne in + Sekunden vom Beginn der Authentisierung + bis zum Anlegen der Anmeldedaten an. + Wird die Angegebene Zeitspanne überschritten + wird der Anmeldevorgang abgebrochen. + <br /> + <hr /> + <b>value: </b><br /> + Gültige Werte: positive Ganzzahlen + <br /> + Default-Wert: 120 </td> + </tr> + </table> + <table border="0" cellspacing="3" cellpadding="2"> + <tr id="AuthenticationData.TimeOut"> + <th align="left">name: AuthenticationData.TimeOut</th> + </tr> + <tr> + <td id="info"> Gibt die Zeitspanne in + Sekunden an, für die die Anmeldedaten + in der Authentisierungskomponente zum + Abholen durch die Proxykomponente oder + eine nachfolgende Applikation bereitstehen. + Nach Ablauf dieser Zeitspanne werden + die Anmeldedaten gelöscht.<br /> + <hr /> + <b>value: </b><br /> + Gültige Werte: positive Ganzzahlen<br /> + Default-Wert: 600 </td> + </tr> + </table> + <table border="0" cellspacing="3" cellpadding="2"> + <tr id="TrustManager.RevocationChecking"> + <th align="left">name: TrustManager.RevocationChecking</th> + </tr> + <tr> + <td id="info"> Für die TLS-Server-Authentisierung + dürfen nur Server-Zertifikate verwendet + werden, die eine CRLDP-Extension enthalten + (andernfalls kann von MOA-ID keine CRL-überprüfung + durchgeführt werden). <br /> + Soll das RevocationChecking generell + ausgeschaltet werden, ist dieses Attribut + anzugeben und auf "false" zu setzen. + <br /> + <hr /> + <b>value: </b><br /> + Gültige Werte: true, false<br /> + Default-Wert: true </td> + </tr> + </table> + <table border="0" cellspacing="3" cellpadding="2"> + <tr id="TrustManager.RevocationChecking"> + <th align="left">name: FrontendServlets.EnableHTTPConnection</th> + </tr> + <tr> + <td id="info"> + <p>Standardmäßig können + die beiden Servlets "StartAuthentication" + und "SelectBKU" welche das + User-Frontend darstellen, aus Sicherheitsgründen, + nur über das Schema HTTPS aufgerufen + werden. </p> + <p>Wenn die beiden Servlets jedoch auch + Verbindungen nach dem Schema HTTP + entgegennehmen sollen, so kann mittels + dem Attribut "EnableHTTPServletConnection" + erlaubt werden.</p> + <p>Hinweis: Sicher und sinnvoll ist + das Erlauben der HTTP Verbindung nur + dann, wenn ein Vorgeschalteter Webserver + das HTTPS handling übernimmt, + und eine Verbindung zu den Servlets + nur über diesen Webserver möglich + ist.</p> + <hr /> + <b>value: </b><br /> + Gültige Werte: true, false<br /> + Default-Wert: false</td> + </tr> + </table> + <table border="0" cellspacing="3" cellpadding="2"> + <tr id="TrustManager.RevocationChecking"> + <th align="left"><a name="DataURLPrefix"></a>name: + FrontendServlets.DataURLPrefix</th> + </tr> + <tr> + <td id="info"> + <p>Standardmäßig wird als + DataURL Prefix das URL Präfix + unter dem die MOA-ID Servlets erreichbar + sind verwendet. Im Falle das sich + der MOA-ID Server hinter einer Firewall + befindet und die Requests von einem + vorgelagertem Webserver weitergereicht + werden, kann mit FrontendServlets.DataURLPrefix + ein alternatives URL Präfix angegeben + werden. In diesem Fall muss der Webserver + so konfiguriert sein, dass er Request + auf diese URLs an den MOA-ID Server + weiterleitet.</p> + <hr /> + <b>value: </b><br /> + Gültige Werte: URLs nach dem Schema + 'http://' und 'https://'<br /> + Default-Wert: kein Default-Wert<br> + Beispiel: <GenericConfiguration name="FrontendServlets.DataURLPrefix" + value="https://<your_webserver>/moa-id-auth/"/></td> + </tr> + </table> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </td> + </tr></table> <br /><br /> @@ -476,7 +680,7 @@ Die <tt><login-url></tt> ergibt sich aus dem Parameter OA des <a href="id- zusammen mit der Konfiguration von <tt>OnlineApplication/@publicURLPrefix</tt> und von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>. <br/>Der Wert <tt>resolvedValue</tt> wird in MOA-ID-PROXY je nach Wert des Platzhalters eingesetzt. </p> -</div> +</tt></tt></div><tt><tt> <div id="BasicAuth" /> <p id="block"> <b>BasicAuth</b><br /> @@ -518,9 +722,9 @@ Die Header werden folgendermaßen in den Request an die Online-Applikation Der Wert <tt>resolvedValue</tt> wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt. Etwaige Header aus dem ursprünglichen Request an die Proxykomponente, die denselben Namen haben, müssen überschrieben werden. -</p> +<p></p> </div> -</td></tr></table> +</tt></tt></td></tr></table> <div id="sp-config" /> @@ -536,26 +740,23 @@ Etwaige Header aus dem ursprünglichen Request an die Proxykomponente, die d <p id="subtitel">Konfiguration von MOA-SP</p> <div id="block"> -<p id="block"> -MOA-ID überprüft die Signaturen der Personenbindung und des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt> -von MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. -<br /><br /> -Ein Auszug einer beispielhaften MOA-SP Konfigurationsdatei, die diese Konfigurationsparameter enthält ist in -<tt>$MOA_ID_INST_AUTH/conf/moa-spss/ SampleMOASPSSConfiguration.xml</tt> enthalten. - -</p> - -<div id="verifytransformsInfoProfile" /> -<p id="block"> -<b>VerifyTransformsInfoProfile</b><br /> -Der Request zum überprüfen der Signatur des AUTH-Blocks verwendet ein vordefiniertes VerifyTransformsInfoProfile. -Die im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei -im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ VerifyTransformsInfoProfileID</tt> definiert. -Entsprechend muss am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender ID definiert werden. Die -Profiledefinition selbst ist in der Auslieferung von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt> -enthalten. Diese Profildefinition muss unverändert übernommen werden. -</p> -</div> + <p id="block"> MOA-ID überprüft die Signaturen der Personenbindung und + des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt> von + MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. + <br /> + <br /> + <b>VerifyTransformsInfoProfile</b><br /> + Der Request zum überprüfen der Signatur des AUTH-Blocks + verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die + im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei + im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ + VerifyTransformsInfoProfileID</tt> definiert. Entsprechend muss + am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender + ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung + von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt> + enthalten. Diese Profildefinition muss unverändert übernommen + werden. </p> + <div id="verifytransformsInfoProfile" /></div> <div id="trustProfile" /> <p id="block"> @@ -619,5 +820,5 @@ Im Falle einer fehlerhaften neuen Konfiguration wird die ursprüngliche Konf </div> -</body> +</div></div></div></body> </html>
\ No newline at end of file |