diff options
Diffstat (limited to 'id/server/doc/handbook/config/config.html')
-rw-r--r-- | id/server/doc/handbook/config/config.html | 232 |
1 files changed, 217 insertions, 15 deletions
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 7e475fa51..11be84dcd 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -85,7 +85,23 @@ <td>Innerhalb dieses Zeitraums muss ein neuer Benutzer die im Benutzerprofil hinterlegte eMail Adresse validieren. </td> </tr> </table> -<h4><a name="moa_id_config_parameters_database" id="uebersicht_zentraledatei_aktualisierung10"></a>2.1.2.2 Datenbankzugriff</h4> +<h4> +<a name="moa_id_config_parameters_sprache" id="uebersicht_zentraledatei_aktualisierung30"></a>2.1.2.2 Sprachauswahl</h4> +<p>Der folgende Konfigurationsparameter ist optional.</p> +<table width="1247" border="1"> + <tr> + <th width="176" scope="col">Name</th> + <th width="222" scope="col">Beispielwert</th> + <th width="827" scope="col">Beschreibung</th> + </tr> + <tr> + <td>general.defaultlanguage</td> + <td>en</td> + <td>Die Sprache von der Benutzeroberfl�che. Derzeit nur <i>en</i> oder <i>de</i> unterst�tzt.</td> + </tr> +</table> +</h4> +<h4><a name="moa_id_config_parameters_database" id="uebersicht_zentraledatei_aktualisierung10"></a>2.1.2.3 Datenbankzugriff</h4> <p>Diese Konfigurationsparameter sind nicht optional und müssen in der Konfigurationsdatei enthalten sein und indivituell angepasst werden. Für Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Configuration kann jedoch auch mit Datenbanken anderer Hersteller betrieben werden. Hierfür wird jedoch auf die <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> verwiesen, welches im Module MOA-ID-Configuration für den Datenbankzugriff verwendet wird. </p> <table width="1247" border="1"> <tr> @@ -120,8 +136,8 @@ </tr> </table> <p> </p> -<p>Die Beispielkonfiguartion beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detailierte Beschreibung der einzelnen Einstellungsparameter kann der <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> entnommen werden.</p> -<h4><a name="moa_id_config_parameters_pvp2" id="uebersicht_zentraledatei_aktualisierung11"></a>2.1.2.3 Bürgerkarten LogIn</h4> +<p>Die Beispielkonfiguration beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detailierte Beschreibung der einzelnen Einstellungsparameter kann der <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> entnommen werden.</p> +<h4><a name="moa_id_config_parameters_pvp2" id="uebersicht_zentraledatei_aktualisierung11"></a>2.1.2.4 Bürgerkarten LogIn</h4> <p>Zusätzlich zur Authentifzierung mittels Benutzername und Passwort unterstützt das Modul MOA-ID-Configuration auch eine Authentifizierung mittels Bürgerkarte oder Handy-Signatur unter Verwendung des <a href="./protocol/protocol.html">Authentifizierungsprotokolls PVP2.1</a>. Wenn eine Authentifizerung mittels Bürgerkarte oder Handy-Signature gewünscht wird müssen die nachfolgen Konfigurationsparameter gesetzt werden.</p> <table width="1247" border="1"> <tr> @@ -218,7 +234,7 @@ http://<host>:<port>/moa-id-configuration/servlet/metadata</pre> <p>bzw. </p> <pre> https://<host>:<port>/moa-id-configuration/servlet/metadata</pre> -<h4><a name="moa_id_config_parameters_mail" id="uebersicht_zentraledatei_aktualisierung12"></a>2.1.2.4 Mailversand</h4> +<h4><a name="moa_id_config_parameters_mail" id="uebersicht_zentraledatei_aktualisierung12"></a>2.1.2.5 Mailversand</h4> <p>Das Modul MOA-ID-Configuration bietet die Möglichkeit zur Generierung von automatischen Statusmeldungen welche via eMail versendet werden. Diese Statusmeldungen betreffen die Aktivierung neuer Online-Applikationen oder Benutzeraccounts und die Verifikation von eMail Adressen welche einem Benutzeraccount zugeordnet sind. Detailinformationen hierzu finden Sie im Abschnitt <a href="#moa_id_config_user">Benutzerverwaltung</a>.</p> <table width="1247" border="1"> <tr> @@ -710,13 +726,106 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet</pre> </tr> </table> <p> </p> - <p>Die Beispielkonfiguartion beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff der einzelnen Schema welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detailierte Beschreibung der einzelnen Einstellungsparameter kann der <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> entnommen werden.</p> + <p>Die Beispielkonfiguration beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff der einzelnen Schema welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detailierte Beschreibung der einzelnen Einstellungsparameter kann der <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> entnommen werden.</p> <p> </p> <h2><a name="uebersicht_logging" id="uebersicht_logging"></a>2.3 Konfiguration des Loggings</h2> <p>Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework für Logging-Information die Open Source Software <code>log4j</code>. Die Konfiguration der Logging-Information erfolgt nicht direkt durch die einzelnen Module, sondern über eine eigene Konfigurationsdatei, die der <span class="term">Java Virtual Machine</span> durch eine <span class="term">System Property </span> mitgeteilt wird. Der Name der <span class="term">System Property </span> lautet <code>log4j.configuration</code>; als Wert der <span class="term">System Property </span> ist eine URL anzugeben, die auf die <code>log4j</code>-Konfigurationsdatei verweist, z.B. </p> <pre>log4j.configuration=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-id/log4j.properties</pre> Weitere Informationen zur Konfiguration des Loggings erhalten Sie in <a href="../install/install.html#webservice_basisinstallation_logging">Abschnitt 2.1.3</a> des Installationshandbuchs. <p></p> +<h2><a name="uebersicht_samlengine" id="uebersicht_samlengine"></a>2.4 Konfiguration des SamlEngines</h2> +<p>F�r die Untest�tzung des STORK2 Protokols verwendet MOA-ID eine zus�tzliche Bibliothek, die �ber gesonderte Dateien konfiguriert wird. Diese Dateien sind unter einem Verzeichnis gespeichert, das �blicherweise sich unter dem MOA-ID-Auth Konfigurationsverzeichnis findet. Der Name der <span class="term">System Property </span> lautet <code>eu.stork.samlengine.config.location</code>; als Wert der <span class="term">System Property </span> ist das Verzeichnis anzugeben, wo die entsprechende SamlEngine Konfigurationsdateien gespeichert werden, z.B. </p> +<pre>eu.stork.samlengine.config.location=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-id/conf/moa-id/stork</pre> +<p>Dieses Verzeichnis muss mindenstens folgende Dateien enth�lten:</p> +<table width="1247" border="1"> + <tr> + <th width="141" scope="col">Datei</th> + <th width="583" scope="col">Beschreibung</th> + </tr> + <tr> + <td>SamlEngine.xml</td> + <td>Die Hauptdatei, wo die Konfigurationen von verschiedenen Instanzen des SamlEngines angegeben werden.</td> + </tr> + <tr> + <td>StorkSamlEngine_<span class="term">XXX</span>.xml</td> + <td>Enth�lt allgemeine Konfigurationsparametern einer spezifischen Instanz des SamlEngines.</td> + </tr> <tr> + <td>SignModule_<span class="term">XXX</span>.xml</td> + <td>Enth�lt Konfigurationsparametern f�r Trust- und Keystore einer spezifischen Instanz des SamlEngines.</td> + </tr> +</table> +<p></p> +<p>In oben stehender Tabelle die Bezeichnung mit <span class="term">XXX</span> gibt die Name einer spezifischen Instanz des SamlEngines an. +In der Hauptskonfiguration Datein (<span class="term">SamlEngine.xml</span>) angegeben werden alle unterst�tze Instanzen des SamlEngines, die f�r verschiedene Anmeldungsszenarien angewandt werden. Die Beispielkonfiguration dieser Datei sieht wie folgendes: +</p> +<pre> +<?xml version="1.0" encoding="UTF-8"?> +<instances> + <!-- Configuration name--> + <instance name="<span class="strongerterm">VIDP</span>"> + <!-- Configurations parameters StorkSamlEngine --> + <configuration name="SamlEngineConf"> + <parameter name="fileConfiguration" value="StorkSamlEngine_<span class="strongerterm">VIDP</span>.xml" /> + </configuration> + + <!-- Settings module signature--> + <configuration name="SignatureConf"> + <!-- Specific signature module --> + <parameter name="class" value="eu.stork.peps.auth.engine.core.impl.SignSW" /> + <!-- Settings specific module --> + <parameter name="fileConfiguration" value="SignModule_<span class="strongerterm">VIDP</span>.xml" /> + </configuration> + </instance> +</instances> +</pre> +<p>In oberem Beispiel ist nur eine Instanz definiert, <span class="term">VIDP</span>, deren spezifischen Parametern in zwei Konfigurationsdateien weiter angef�hrt werden.</p><p>In konkretem Fall, die Datei <span class="strongerterm">StorkSamlEngine_VIDP.xml</span> enth�lt TORK-spezifische Parametern, die normalerweise nicht ge�ndert werden sollte.</p><p>In der zweite Datei, <span class="strongerterm">SignModule_VIDP.xml</span>, definiert werden die Konfigurationsparametern f�r Trust- und Keystore der Instanz von SamlEngine. Die Beispielkonfiguration dieser Datei sieht wie folgendes:</p> +<pre> +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE properties SYSTEM "http://java.sun.com/dtd/properties.dtd"> + +<properties> + <comment>SWModule sign with JKS.</comment> + <entry key="keystorePath">C:/Programme/apache/tomcat-4.1.30/conf/moa-id/keys/storkDemoKeys.jks</entry> + <entry key="keyStorePassword">local-demo</entry> + <entry key="keyPassword"><span class="strongerterm">XXX</span></entry> + <entry key="issuer">C=AT, L=Graz, OU=Institute for Applied Information Processing and Communications</entry> + <entry key="serialNumber">123AA2CDB1123</entry> + <entry key="keystoreType">JKS</entry> +</properties> +</pre> +<p>Diese Parameter sollen bei der Installation angepasst werden, um die Zugriff an Keystore und die Schl�ssel zu erm�glichen. Die einzelne Parametern sind in foldenter Tabelle erkl�rt:</p> +<p><table width="1247" border="1"> + <tr> + <th width="121" scope="col">Name</th> + <th width="683" scope="col">Beschreibung</th> + </tr> + <tr> + <td>keystorePath</td> + <td>Keystore mit Schl�ssel und Zertifikaten welche f�r das Signieren und Verschl�sseln von STORK Nachrichten verwendet werden sollen. </td> + </tr> + <tr> + <td>keyStorePassword</td> + <td>Passwort des Keystores. Keystore soll den Schl�ssel f�r die Signieren von Nachrichten enthalten, ebenso wie die vertrauensw�rdige Zertifikate von anderen Parteien, wie z.B. ausl�ndische PEPSes. </td> + </tr> + <tr> + <td>keyPassword</td> + <td>Password des Schl�ssels, der f�r die Signieren der STORK Nachrichten verwendet werden soll.</td> + </tr> + <tr> + <td>issuer</td> + <td>Issuer des Keypairs, der f�r die Signieren der STORK Nachrichten verwendet werden soll.</td> + </tr> + <tr> + <td>serialNumber</td> + <td>Nummer des Keypairs, der f�r die Signieren der STORK Nachrichten verwendet werden soll.</td> + </tr> + <tr> + <td>keystoreType</td> + <td>Typ und Format des Keystores. <span class="term">JKS</span> steht f�r <span class="term">Java Key Store</span>.</td> + </tr> +</table> +</p> +<p></p> <h1><a name="konfigurationsparameter"></a>3 Konfiguration MOA-ID-Auth</h1> <p>Dieses Abschnitt beschreibt die Konfiguration des Modules MOA-ID-Auth mithilfe der durch das Modul MOA-ID-Configuration zur Verfügung gestellten Web-Oberfläche. Hierzu muss das Konfigurationstool (Module MOA-ID-Konfiguration) bereits installiert und konfiguriert sein (siehe <a href="#uebersicht_zentraledatei_aktualisierung">Kapitel 2.1</a>). Nach erfolgreichem Login am Konfigurationstool kann das Modul MOA-ID-Auth über die Web-Oberfläche konfiguriert werden.</p> <p>Die Konfiguration von MOA-ID-Auth ist in zwei Teilbereiche unterteilet. Diese behandeln die Allgemeine Konfiguration der MOA-ID-Auth Instanz und die Konfiguration von Online-Applikationen (Service Providern) die dieser MOA-ID-Auth Instanz zugeordnet sind.</p> @@ -941,7 +1050,36 @@ Checking</td> </tr> </table> <h3><a name="konfigurationsparameter_allgemein_stork" id="konfigurationsparameter_allgemein_bku8"></a>3.1.8 Secure idenTity acrOss boRders linKed (STORK)</h3> -<p>TODO:</p> +<p>Hierbei werden allgemeine Parameter f�r STORK Protokol konfiguriert.</p> +<table width="1247" border="1"> + <tr> + <th width="201" scope="col">Name</th> + <th width="460" scope="col">Beispielwerte</th> + <th width="944" scope="col">Beschreibung</th> + </tr> + <tr> + <td>Standard QAA-Level</td> + <td>4</td> + <td>QAA <span class="term">(Attribute Quality Authentication Assurance)</span> stellt Mindestanforderung von QAA fest. </td> + </tr> + <tr> + <td>Contry Code</td> + <td>ES</td> + <td>Der zweistelligen Kod vom unterst�tzten PEPS-Staat.</td> + </tr> + <tr> + <td>PEPS URL</td> + <td>https://prespanishpeps.redsara.es/PEPS/ColleagueRequest</td> + <td>Die Adresse von PEPS eines unterst�tzten PEPS-Staat.</td> + </tr> + <tr> + <td>Attributname</td> + <td>eIdentifier</td> + <td>Die Name des unterst�tzte Attributtes. Die als <span class="term">zwingend</span> markierte Attributtes m�ssen im Response von dem gegenstehendem PEPS enth�lten werden. Jedes Attribut wird gesondert eingetragen. <br/>Die Liste von vorhandenen und unterst�tzen Attributes ist in Konfigurationsdatei von SamlEngine <span class="term">(StorkSamlEngine_XXX.xml)</span> vorhanden. </td> + </tr> +</table> +<p></p> +<p></p> <h3><a name="konfigurationsparameter_allgemein_protocol" id="konfigurationsparameter_allgemein_bku9"></a>3.1.9 Protokolle</h3> <p>Hierbei handelt es ich um allgemeine Einstellungen zu den vom Modul MOA-ID-Auth unterstützen Authentifizierungsprotokollen.</p> <h4><a name="konfigurationsparameter_allgemein_protocol_allowed" id="konfigurationsparameter_allgemein_bku10"></a>3.1.9.1 Protkolle aktivieren</h4> @@ -1283,39 +1421,103 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der </tr> </table> <h3><a name="konfigurationsparameter_oa_stork" id="uebersicht_zentraledatei_aktualisierung23"></a>3.2.5 Secure idenTity acrOss boRders linKed (STORK)</h3> -<p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu STORK.</p> +<p>Dieser Abschnitt behandelt Online-Applikationsspezifische Einstellungen zu STORK.</p> <table width="1250" border="1"> <tr> <th width="167" scope="col">Name</th> - <th width="168" scope="col">Beispielwert</th> - <th width="43" scope="col">Admin</th> + <th width="68" scope="col">Beispielwert</th> <th width="57" scope="col">Optional</th> <th width="781" scope="col">Beschreibung</th> </tr> <tr> <td>STORK verwenden</td> - <td> </td> + <td>ja</td> <td align="center"> </td> - <td align="center">X</td> <td>Definiet ob die Online-Applikation eine Anmeldung mittels STORK unterstützt. Wird STORK unterstützt wird in während der BKU-Auswahl die Option <em>Home Country Selection </em> für eine Anmeldung mittels STORK dargestellt.</td> </tr> <tr> <td><p>QAA-Level</p></td> - <td> </td> + <td>4</td> <td align="center"> </td> - <td align="center">X</td> <td>Von der Online-Applikation geforderter mindest QAA-Level der Authentifizierung</td> </tr> <tr> <td><p>Attribute</p></td> <td> </td> <td align="center"> </td> - <td align="center">X</td> <td><p>STORK Attribute welche die Online-Applikation anfordert</p> - <p>Bei den Attributen kann jedoch nur aus dem Set der in der allgemeinen Konfiguration hinterlegten STORK Attributen (siehe <a href="#konfigurationsparameter_allgemein_stork">Kapitel 3.1.8</a>) gewählt werden, wobei Attribute die in der allgemeinen Konfiguration als „Verpflichtend“ markiert sind immer mitgeliefert werden.</p></td> + <p>Bei den Attributen kann jedoch nur aus dem Set der in der allgemeinen Konfiguration hinterlegten STORK Attributen (siehe <a href="#konfigurationsparameter_allgemein_stork">Kapitel 3.1.8</a>) gewählt werden, wobei Attribute die in der allgemeinen Konfiguration als <span class="term">zwingend</span> markiert sind immer mitgeliefert werden.</p></td> + </tr> + <tr> + <td><p>Stork Applikation</p></td> + <td>ja</td> + <td align="center"> </td> + <td><p>Stellt fest, ob dies eine STORK Applikation ist.</p></td> + </tr> + <tr> + <td><p>Landesvorwahl</p></td> + <td>ES</td> + <td align="center"> </td> + <td><p>Der landspezifischen Kode - der Staat von Service Provider. Wird f�r die Ableitung des STORK-eIdentifiers verwendet.</p></td> + </tr> + <tr> + <td><p>VIDP Interface aktiv</p></td> + <td>ja</td> + <td align="center"> </td> + <td><p>Stellt fest, ob das VIDP Interface aktiviert wird.</p></td> + </tr> + <tr> + <td><p>Zustimmung f�r das Ausliefern der Attribute</p></td> + <td>ja</td> + <td align="center"> </td> + <td><p>Stellt fest, ob die Zustimmung f�r das Ausliefern der Attribute vom Benutzer erforderlich ist. Diese Zustimmung ist f�r grenz�bergreifenden Datenverkehr aufgrund Datensch�tzbestimmungen oft notwendig. </p></td> + </tr> +</table> +<p> </p> +<p>In diesem Abschnitt werden zus�tzliche Attributsproviders eingetragen, sowohl als von dem gelieferte und unterst�tzte Attribute. <br/>Die Attributproviders werden f�r die Abholung von einigen Attributen von �sterreichischen B�rger notwendig (Anmeldung in Ausland). Die Eintragung und Auswahl von Attributproviders ist <span class="term">optional</span>. +</p><p>Im Lauf von einem Anmeldevorgang wird der Benutzer an entsprechende Attributtprovider weitergeleitet, wo die notwendige Attribute ausgew�hlt und zur�ck an VIDP (am ServiceProvider) geliefert werden. </p> +<br/> +<table width="1250" border="1"> + <tr> + <th width="167" scope="col">Name des Plugins</th> + <th width="781" scope="col">Beschreibung</th> + </tr> + <tr> + <td>EHvdAttributeProvider</td> + <td>F�r Gesundheitsbereich spezifisches Attributprovider. </td> + </tr> + <tr> + <td>SignedDocAttributeRequestProvider</td> + <td>Attributprovider verwendet f�r die Signatur von Dokumenten (<span class="term">Signature Service</span>).</td> + </tr> + <tr> + <tr> + <td>MISAttributeRequestProvider</td> + <td>Attributprovider verwendet f�r die Vertretungsf�lle.</td> + </tr> + <tr> + <td>StorkAttributeRequestProvider</td> + <td>Allgemeines Plugin, wird verwendet f�r die Restf�lle.</td> </tr> </table> <p> </p> +<p>Beispiel eines Eintrages f�r Attributprovider:</p> +<pre> +<table width="1220" border="1"> + <tr> + <th width="167" scope="col">AP Plugin</th> + <th width="681" scope="col">URL</th> + <th width="281" scope="col">Attribute</th> + </tr> + <tr> + <td>MISAttributeRequestProvider</td> + <td>http://mis.testvidp.at/moa-id-auth/stork2/MISProvider</td> + <td>mandateContent,<span class="term">attribut1</span>,<span class="term">attribut2</span></td> + </tr> +</table> +</pre> + + <p><strong>Hinweis:</strong> Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfgurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung.</p> <h3><a name="konfigurationsparameter_oa_protocol" id="uebersicht_zentraledatei_aktualisierung24"></a>3.2.6 Authentifizierungsprotokolle</h3> <p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterstützen Authentifizierungsprotokollen. Eine Verwendung aller zur Verfügung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls möglich. Hierfür muss nur alle benötigten Protokolle konfiguriert werden. Nähere Informationen zu den unterstützten Protokollen finden sie im Kapitel Protokolle. TODO:</p> |