diff options
Diffstat (limited to 'id/server/doc/handbook/config/config.html')
| -rw-r--r-- | id/server/doc/handbook/config/config.html | 229 |
1 files changed, 167 insertions, 62 deletions
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index b3bea08cb..58214bb44 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -52,29 +52,30 @@ <li><a href="#uebersicht_bekanntmachung">Bekanntmachung der Konfigurationsdatei</a></li> <li><a href="#basisconfig_moa_id_auth_param">Konfigurationsparameter</a> <ol> - <li><a href="#basisconfig_moa_id_auth_param_general">Allgemeine Konfigurationsparameter</a></li> - <li><a href="#basisconfig_moa_id_auth_param_services">Externe Services</a> -<ol> - <li><a href="#basisconfig_moa_id_auth_param_services_moasp">MOA-SP</a></li> - <li><a href="#basisconfig_moa_id_auth_param_services_mandates">Online-Vollmachen</a></li> - <li><a href="#">Foreign Identities</a></li> - </ol> - </li> - <li><a href="#basisconfig_moa_id_auth_param_protocol">Protokolle</a> -<ol> - <li><a href="#basisconfig_moa_id_auth_param_protocol_pvp21">PVP 2.1</a></li> - <li><a href="#basisconfig_moa_id_auth_param_protocol_openid">OpenID Connect</a></li> - </ol> - </li> - <li><a href="#basisconfig_moa_id_auth_param_database">Datenbank </a> -<ol> - <li><a href="#basisconfig_moa_id_auth_param_database_conf">Konfiguration</a></li> - <li><a href="#basisconfig_moa_id_auth_param_database_session">Session Informationen</a></li> - <li><a href="#basisconfig_moa_id_auth_param_database_info">Statistikdaten</a></li> - </ol> - </li> - </ol> - </li> + <li><a href="#basisconfig_moa_id_auth_param_general">Allgemeine Konfigurationsparameter</a></li> + <li><a href="#basisconfig_moa_id_auth_param_services">Externe Services</a> + <ol> + <li><a href="#basisconfig_moa_id_auth_param_services_moasp">MOA-SP</a></li> + <li><a href="#basisconfig_moa_id_auth_param_services_mandates">Online-Vollmachen</a></li> + <li><a href="#">Foreign Identities</a></li> + </ol> + </li> + <li><a href="#basisconfig_moa_id_auth_param_protocol">Protokolle</a> + <ol> + <li><a href="#basisconfig_moa_id_auth_param_protocol_pvp21">PVP 2.1</a></li> + <li><a href="#basisconfig_moa_id_auth_param_protocol_openid">OpenID Connect</a></li> + </ol> + </li> + <li><a href="#basisconfig_moa_id_auth_param_database">Datenbank </a> + <ol> + <li><a href="#basisconfig_moa_id_auth_param_database_conf">Konfiguration</a></li> + <li><a href="#basisconfig_moa_id_auth_param_database_session">Session Informationen</a></li> + <li><a href="#basisconfig_moa_id_auth_param_database_info">Statistikdaten</a></li> + </ol> + </li> + <li> <a href="#basisconfig_moa_id_auth_param_testing">Testing</a></li> +</ol> +</li> </ol> </li> <li><a href="#uebersicht_logging">Konfiguration des Loggings</a></li> @@ -145,10 +146,12 @@ <li><a href="#import_template_sltemplate">Security-Layer Request</a></li> </ol> </li> + <li><a href="#sp-config">Konfiguration von MOA-SP</a></li> + <li><a href="#security">Tomcat Security Manager</a></li> </ol> - <ol type="A"> +<ol type="A"> <li><a href="#referenzierte_spezifikation">Referenzierte Spezifikation</a></li> - </ol> +</ol> <hr/> <h1><a name="uebersicht" id="uebersicht"></a>1 Übersicht </h1> <p>Dieses Handbuch beschreibt detailliert die Konfigurationsmöglichkeiten für die Module MOA-ID-Auth und MOA-ID-Configuration. Wobei das zentrale Einsatzgebiet des Modules MOA-ID-Configuration die Konfiguration des Modules MOA-ID-Auth darstellt.</p> @@ -270,7 +273,7 @@ <td>general.login.pvp2.idp.sso.logout.url</td> <td>https://demo.egiz.gv.at/moa-id-auth/LogOut?redirect=<br> https://demo.egiz.gv.at/moa-id-configuration</td> - <td>URL zum Single Log-Out (SLO) Service des IDP. Details zum SLO Service von MOA-ID-Auth finden Sie <a href="./protocol/protocol.html">hier</a>.</td> + <td>URL zum Single Log-Out (SLO) Service des IDP. Details zum SLO Service von MOA-ID-Auth finden Sie <a href="./protocol/protocol.html#allgemeines_ssologout">hier</a>.</td> </tr> <tr> <td>general.login.pvp2.metadata.entities.name</td> @@ -606,7 +609,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet</pre> <tr> <td>service.moasp.acceptedServerCertificates</td> <td>certs/moa-sp-server/</td> - <td>Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <TrustedCACertificates> TODO!! angegebenen Zertifikaten erstellt werden kann.</td> + <td>Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <TrustedCACertificates> (siehe <a href="#konfigurationsparameter_allgemein_certvalidation">Kapitel 3.1.4</a>) angegebenen Zertifikaten erstellt werden kann.</td> </tr> </table> <p> </p> @@ -837,6 +840,27 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet</pre> </table> <p> </p> <p>Die Beispielkonfiguration beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff der einzelnen Schema welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detaillierte Beschreibung der einzelnen Einstellungsparameter kann der <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> entnommen werden.</p> +<h4><a name="basisconfig_moa_id_auth_param_testing" id="uebersicht_bekanntmachung15"></a>2.2.2.5 Testing</h4> + <p>Diese Parameter dienen auf Testsystemen zur Deaktivierung einzelner Verarbeitungs- oder Prüfschritte. Standardmäßig ist jeweils die sichere Variante aktiviert.</p> + <table width="1247" border="1"> + <tr> + <th width="281" scope="col">Name</th> + <th width="261" scope="col">Beispielwert</th> + <th width="683" scope="col">Beschreibung</th> + </tr> + <tr> + <td>configuration.validation.certificate.QC.ignore</td> + <td><p>true / false</p></td> + <td><p>Deaktiviert die QC Prüfung von Signaturzertifikaten. Da manche Testzertifikate oder Testkarten keine QC Erweiterung aufweisen und somit eine Anmeldung mit diesen Zertifikaten nicht möglich ist, kann die QC Prüfung je Instanz deaktiviert werden.</p> + <p><strong>Defaultwert:</strong> false</p></td> + </tr> + <tr> + <td>protocols.pvp2.assertion.encryption.active</td> + <td>true / false</td> + <td><p>Mit diesem Parameter kann die Verschlüsselung der PVP2.1 Assertion für diese MOA-ID-Auth Instanz vollständig deaktiviert werden.</p> + <p><strong>Defaultwert:</strong> true</p></td> + </tr> + </table> <p> </p> <h2><a name="uebersicht_logging" id="uebersicht_logging"></a>2.3 Konfiguration des Loggings</h2> <p>Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework für Logging-Information die Open Source Software <code>log4j</code>. Die Konfiguration der Logging-Information erfolgt nicht direkt durch die einzelnen Module, sondern über eine eigene Konfigurationsdatei, die der <span class="term">Java Virtual Machine</span> durch eine <span class="term">System Property </span> mitgeteilt wird. Der Name der <span class="term">System Property </span> lautet <code>log4j.configuration</code>; als Wert der <span class="term">System Property </span> ist eine URL anzugeben, die auf die <code>log4j</code>-Konfigurationsdatei verweist, z.B. </p> @@ -872,7 +896,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet</pre> </tr> </table> <h3><a name="konfigurationsparameter_allgemein_bku" id="konfigurationsparameter_allgemein_bku"></a>3.1.2 Default BKUs</h3> -<p>Hiermit werden die URLs zu den Default Bürgerkartenumgebungen (BKUs) definiert die von MOA-ID-Auth für einen Anmeldevorgang verwendet werden, wenn die Bürgerkartenauswahl nicht bereits auf Seiten der Online-Applikation erfolgt ist (siehe Protokolle: TODO) oder in der Online-Applikationskonfiguration keine BKU URLs konfiguriert wurden (siehe <a href="#konfigurationsparameter_oa_bku">Kapitel 3.2.2</a>).</p> +<p>Hiermit werden die URLs zu den Default Bürgerkartenumgebungen (BKUs) definiert die von MOA-ID-Auth für einen Anmeldevorgang verwendet werden, wenn die Bürgerkartenauswahl nicht bereits auf Seiten der Online-Applikation erfolgt ist (siehe <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Request</a>) oder in der Online-Applikationskonfiguration keine BKU URLs konfiguriert wurden (siehe <a href="#konfigurationsparameter_oa_bku">Kapitel 3.2.2</a>).</p> <table width="1247" border="1"> <tr> <th width="89" scope="col">Name</th> @@ -958,9 +982,14 @@ Checking</td> <th width="921" scope="col">Beschreibung</th> </tr> <tr> - <td>Assertion</td> + <td>Anmeldedaten</td> <td>300</td> - <td>Gibt die Zeitspanne in Sekunden an, für die die Anmeldedaten in der Authentisierungskomponente (MOA-ID-Auth) zum Abholen durch die eine nachfolgende Applikation bereitstehen. Nach Ablauf dieser Zeitspanne werden die Anmeldedaten gelöscht.</td> + <td><p>Gibt die Zeitspanne in Sekunden an, für die Anmeldedaten, temporäre Sessiondaten oder Assertions in der Authentisierungskomponente (MOA-ID-Auth) vorrätig gehalten werden. Nach Ablauf dieser Zeitspanne werden diese Daten gelöscht oder der Anmeldevorgang abgebrochen. Dieser Parameter hat Einfluss auf folgende Funktionen:</p> + <ul> + <li>maximale Zeitspanne eines Anmeldevorgangs vom Authentification Request bis zur Authentification Response gerechnet.</li> + <li>maximale Zeitspanne welche einer Online-Applikation zum Abholen der Anmeldedaten zur Verfügung steht. (SAML mit Artifact Binding und OpenID Connect)</li> + <li>maximale Zeitspanne zum Abholen zusätzlicher STORK2 Attribute (Zeitdauer je Attribut)</li> + </ul> </td> </tr> <tr> <td>SSO Session authentifiziert</td> @@ -975,7 +1004,7 @@ Checking</td> </table> <h3><a name="konfigurationsparameter_allgemein_moasp" id="konfigurationsparameter_allgemein_bku5"></a>3.1.6 MOA-SP</h3> <p>Der Abschnitt MOA-SP Konfiguration enthält Parameter zur Nutzung von MOA-SP. MOA-SP wird für die Überprüfung der Signatur der Personenbindung und des AUTH-Blocks verwendet.</p> -<p>MOA-SP muss entsprechend konfiguriert werden - siehe hierzu Abschnitt <a href="http://joinup.ec.europa.eu/site/moa-idspss/moa-id-1.5.1/doc/moa_id/id-admin_2.htm#sp-config"> TODO: Konfiguration von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP finden sie in der Distribution von MOA-SP/SS beiliegenden Dokumentation im Abschnitt 'Konfiguration'. </p> +<p>MOA-SP muss entsprechend konfiguriert werden - siehe hierzu Abschnitt <a href="#sp-config"> Konfiguration von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP finden sie in der Distribution von MOA-SP/SS beiliegenden Dokumentation im Abschnitt 'Konfiguration'. </p> <table width="1247" border="1"> <tr> <th width="164" scope="col">Name</th> @@ -1008,9 +1037,9 @@ Checking</td> <p>Hiermit werden die URLs zum Online-Vollmachten Service und zum SZR-Gateway konfiguriert. Die Konfiguration der für den Zugriff benötigen Client-Zertifikate wurden bereits im Abschnitt <a href="#basisconfig_moa_id_auth_param_services">2.2.2.2</a> behandelt.</p> <table width="1247" border="1"> <tr> - <th width="140" scope="col">Name</th> - <th width="231" scope="col">Beispielwert</th> - <th width="854" scope="col">Beschreibung</th> + <th width="147" scope="col">Name</th> + <th width="360" scope="col">Beispielwert</th> + <th width="718" scope="col">Beschreibung</th> </tr> <tr> <td><span id="wwlbl_loadGeneralConfig_moaconfig_mandateURL">Online-Vollmachten Service</span></td> @@ -1018,10 +1047,10 @@ Checking</td> <td>URL zum Online-Vollmachten Service</td> </tr> <tr> - <td><span id="wwlbl_loadGeneralConfig_moaconfig_szrgwURL">SZR Gateway Service</span></td> - <td>https://szrgw.egiz.gv.at:8443/services/<br> - IdentityLinkCreation</td> - <td>URL zum Stammzahlen-Register Gateway</td> + <td><span id="wwlbl_loadGeneralConfig_moaconfig_szrgwURL">SZR-Gateway Service</span></td> + <td>https://szrgw.egiz.gv.at:8443/szr-gateway_2.0/services/IdentityLinkCreation</td> + <td><p>URL zum Stammzahlen-Register Gateway</p> + <p><strong>Hinweis:</strong> Der SZR-Gateway Service welcher in der MOA-ID 1.5.1 Konfiguration verwendet wurde ist nicht mehr kompatibel zu MOA-ID 2.0. Das aktualsierte Test SZR-Gateway Service für MOA-ID 2.x steht unter folgender URL zur Verfügung. <em>https://szrgw.egiz.gv.at:8443/szr-gateway_2.0/services/IdentityLinkCreation</em></p></td> </tr> </table> <h3><a name="konfigurationsparameter_allgemein_sso" id="konfigurationsparameter_allgemein_bku7"></a>3.1.8 Single-Sign On(SSO)</h3> @@ -1082,45 +1111,102 @@ Checking</td> </table> <h3><a name="konfigurationsparameter_allgemein_stork" id="konfigurationsparameter_allgemein_bku8"></a>3.1.9 Secure idenTity acrOss boRders linKed (STORK)</h3> <p>Dieser Abschnitt konfiguriert die Authentifizierung mittels STORK für das Modul MOA-ID-Auth.</p> -<table width="1250" border="1"> +<table width="1241" border="1"> <tr> - <th width="167" scope="col">Name</th> - <th width="168" scope="col">Beispielwert</th> - <th width="43" scope="col">Admin</th> - <th width="57" scope="col">Optional</th> - <th width="781" scope="col">Beschreibung</th> + <th width="139" scope="col">Name</th> + <th width="355" scope="col">Beispielwert</th> + <th width="725" scope="col">Beschreibung</th> </tr> <tr> <td>QAA-Level</td> <td>4</td> - <td align="center"> </td> - <td align="center">X</td> <td>Definiert den mindest QAA-Level den diese MOA-ID-Auth Instanz für die Authentifizierung verlangt.</td> </tr> <tr> <td><p>PEPS Konfiguration</p></td> <td>PT --> https://eu-id.teste.cartaodecidadao.gov.pt/PEPS/ColleagueRequest</td> - <td align="center"> </td> - <td align="center">X</td> <td>Definiert die URLs die PEPS Instanzen der jeweiligen Länder für welche eine Anmeldung mittels STORK unterstützt wird. Die Konfiguration erfolgt mit dem Ländercode (Bsp: PT, LU, ES, ...) und der URL auf den jeweiligen PEPS.</td> </tr> <tr> <td><p>Attributkonfiguration</p></td> <td> </td> - <td align="center"> </td> - <td align="center">X</td> <td><p>In diesem Bereich können einzelne STORK Attribute angefordert werden. Jede Attributkonfiguration besteht aus dem Attributnamen und der Information ob dieses Attribut verpflichtend (zwingend) übermittelt werden muss.</p> <p>Als Attributname muss der <em>Friendlyname</em> (Bsp: eIdentifier, nationalityCode, ...) des gewünschten STORK Attributes angegeben werden. Die verfügbaren Attribute können der STORK Spezifikation entnommen werden.</p></td> </tr> </table> +<p> </p> +<p>Folgende Attribute müssen jedoch mindestens angefordert werden, wobei die erforderlichen Attribute je nach Anmeldeart unterschiedlich sind. Eine Liste mit weiteren möglichen Attribute finden Sie im Kapitel <a href="./../protocol/protocol.html#allgemeines_attribute">Protokolle</a> oder in der <a href="#referenzierte_spezifikation">STORK Spezifikation</a>.</p> +<table width="1251" border="1"> + <tr> + <th width="145" scope="col">Name</th> + <th width="106" scope="col">natürliche Person</th> + <th width="102" scope="col">Anmeldung in Vertretungl</th> + <th width="870" scope="col">Beschreibung</th> + </tr> + <tr> + <td>eIdentifier</td> + <td align="center">X</td> + <td align="center">X</td> + <td>Eindeutiger Identifier der Person für die die Anmeldung erfolgt.</td> + </tr> + <tr> + <td><p>givenName</p></td> + <td align="center">X</td> + <td align="center">X</td> + <td>Vorname der Person für die die Anmeldung erfolgt.</td> + </tr> + <tr> + <td><p>surname</p></td> + <td align="center"><br> + X</td> + <td align="center">X</td> + <td><p>Familienname der Person für die die Anmeldung erfolgt.</p></td> + </tr> + <tr> + <td>dateOfBirth</td> + <td align="center">X</td> + <td align="center">X</td> + <td>Geburtsdatum der Person für die die Anmeldung erfolgt.</td> + </tr> + <tr> + <td>gender</td> + <td align="center">X</td> + <td align="center">X</td> + <td>Geschlecht der Person für die die Anmeldung erfolgt.</td> + </tr> + <tr> + <td>canonicalResidenceAddress</td> + <td align="center"> </td> + <td align="center">X</td> + <td>Addresse der Person für welche die Anmeldung erfolgt</td> + </tr> + <tr> + <td>mandateContent</td> + <td align="center"> </td> + <td align="center">X</td> + <td>Elektronische Vollmacht, welche die Vertretungsverhältnisse widerspiegelt.</td> + </tr> + <tr> + <td>representative</td> + <td align="center"> </td> + <td align="center">X</td> + <td>Natürliche Person welche eine juristische oder natürliche Person im Rahmen einer Anmeldung mittels Vollmacht vertritt.</td> + </tr> + <tr> + <td>represented</td> + <td align="center"> </td> + <td align="center">X</td> + <td>Juristische oder natürliche Person welche im Rahmen einer Anmeldung mittels Vollmacht vertreten wird.</td> + </tr> +</table> <h3><a name="konfigurationsparameter_allgemein_protocol" id="konfigurationsparameter_allgemein_bku9"></a>3.1.10 Protokolle</h3> <p>Hierbei handelt es ich um allgemeine Einstellungen zu den vom Modul MOA-ID-Auth unterstützen Authentifizierungsprotokollen.</p> <h4><a name="konfigurationsparameter_allgemein_protocol_allowed" id="konfigurationsparameter_allgemein_bku10"></a>3.1.10.1 Protokolle aktivieren</h4> <p>In diesem Abschnitt können die einzelnen von MOA-ID-Auth unterstützen Authentifizierungsprotokolle aktiviert oder deaktiviert werden. Diese Einstellung gilt für die gesamte MOA-ID-Auth Instanz.</p> <h4><a name="konfigurationsparameter_allgemein_protocol_legacy" id="konfigurationsparameter_allgemein_bku11"></a>3.1.10.2 Legacy Modus</h4> <p>Ab der Version 2.0 des Modules MOA-ID-Auth wird die Bürgerkartenauswahl standardmäßig von MOA-ID-Auth bereitgestellt und erfolgt im Kontext von MOA-ID-Auth. Dem zu Folge müssen die aus MOA-ID 1.5.1 bekannten StartAuthentication Parameter (target, bkuURL, template, usemandate) nicht mehr im StartAuthentication Request übergeben werden.</p> -Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der Online-Applikation erfolgen muss für das jeweilige Protokoll der Legacy Modus aktiviert werden. Wird der Legacy Modus verwendet müssen jedoch die bkuURL, das Security-Layer Template und der Target mit den bei MOA-ID-Auth hinterlegten Konfigurationsparametern der Online-Applikation übereinstimmten. Detailinformationen hierzu finden Sie im Kapitel Protokolle. TODO: +Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der Online-Applikation erfolgen muss für das jeweilige Protokoll der Legacy Modus aktiviert werden. Wird der Legacy Modus verwendet müssen jedoch die bkuURL, das Security-Layer Template und der Target mit den bei MOA-ID-Auth hinterlegten Konfigurationsparametern der Online-Applikation übereinstimmten. Detailinformationen hierzu finden Sie im Kapitel <a href="./../protocol/protocol.html#allgemeines_legacy">Protokolle</a>. <h4><a name="konfigurationsparameter_allgemein_protocol_saml1" id="konfigurationsparameter_allgemein_bku12"></a>3.1.10.3 SAML1 Konfiguration</h4> <p>Die SourceID ist ein Teil des SAML1 Artifacts welches zur Abholung der SAML1 Assertion an die Online-Applikation zurückgegeben wird. Standardmäßig wird die SourceID aus der URL der jeweiligen Online-Applikation, an der die Anmeldung stattfinden, generiert. Optional kann jedoch eine SourceID für die gesamte MOA-ID-Auth Instanz vergeben werden, welche für alle Online-Applikationen verwendet wird.</p> <table width="1247" border="1"> @@ -1213,7 +1299,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der </tr> </table> <h3><a name="konfigurationsparameter_allgemein_sltransform" id="konfigurationsparameter_allgemein_bku14"></a>3.1.11 Security-Layer Transformationen</h3> -<p>Die Security-Layer (SL) Transformation, welche von MOA-ID-Auth für die Erstellung der Signatur des AuthBlock verwendet werden soll, muss hier angegeben werden. Über das Datei-Upload Feld kann die zu verwendende Transformation hochgeladen werden. Diese befindet sich in der MOA-ID-Auth Defaultkonfiguration im Ordner <em>/conf/moa-id/transforms/ TransformsInfoAuthBlockTable_DE_2.0.xml</em>. TODO: URL</p> +<p>Die Security-Layer (SL) Transformation, welche von MOA-ID-Auth für die Erstellung der Signatur des AuthBlock verwendet werden soll, muss hier angegeben werden. Über das Datei-Upload Feld kann die zu verwendende Transformation hochgeladen werden. Diese befindet sich in der MOA-ID-Auth Defaultkonfiguration im Ordner <em><a href="./../../../conf/moa-id/transforms/TransformsInfoAuthBlockTable_DE_2.0.xml">/conf/moa-id/transforms/ TransformsInfoAuthBlockTable_DE_2.0.xml</a></em>.</p> <h2><a name="konfigurationsparameter_oa" id="uebersicht_zentraledatei_aktualisierung3"></a>3.2 Online Applikationen</h2> <p>Die Konfiguration von Online-Applikationen erfolgt ebenfalls mit Hilfe des Moduls MOA-ID-Configuration. Es können sowohl neue Online-Applikationen erstellt als auch bestehende Online-Applikationen bearbeitet oder gelöscht werden. Der erlaubte Konfigurationsumfang hängt jedoch von Role des aktuellen Benutzers ab, wobei eine Konfiguration der gesamten Parameter nur einem Benutzer mit der Role <em>admin</em> möglich ist. Alle Konfigurationsfelder die nur einem Benutzer mit der Role <em>admin</em> zur Verfügung stehen sind gesondert gekennzeichnet.</p> <h3><a name="konfigurationsparameter_oa_general" id="uebersicht_zentraledatei_aktualisierung17"></a>3.2.1 Informationen zur Online-Applikation (Service Provider)</h3> @@ -1370,7 +1456,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der <td> </td> <td align="center">X</td> <td align="center">X</td> - <td>Über diese Funktion können drei zusätzliche SecurtityLayer-Request Templates für diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zusätzliche WhiteList für Templetes welche im „StartAuthentication“ Request mit dem Parameter „template“ übergeben werden. Sollte im „StartAuthentication“ Request der Parameter „template“ fehlen, es wurde jedoch eine „bkuURL“ übergeben, dann wird für den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum legacy Request finden Sie im Kapitel Protokolle. TODO:</td> + <td>Über diese Funktion können drei zusätzliche SecurtityLayer-Request Templates für diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zusätzliche WhiteList für Templetes welche im „StartAuthentication“ Request mit dem Parameter „template“ übergeben werden. Sollte im „StartAuthentication“ Request der Parameter „template“ fehlen, es wurde jedoch eine „bkuURL“ übergeben, dann wird für den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Request</a> finden Sie im Kapitel Protokolle.</td> </tr> <tr> <td>BKU-Selection Template</td> @@ -1416,11 +1502,11 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der <td> </td> <td align="center"> </td> <td align="center">X</td> - <td>Definiert ob eine Online-Applikation ausschließlich Anmeldungen mittels Online-Vollmachten unterstützt. Wenn ja, wird in während der BKU-Auswahl die Option <em>in Vertretung</em> für eine Anmeldung in Vertretung standardmäßig aktiviert und diese Einstellung kann durch die BenutzerIn oder den Benutzer nicht geändert werden..</td> + <td>Definiert ob eine Online-Applikation ausschließlich Anmeldungen mittels Online-Vollmachten unterstützt. Wenn ja, wird in während der BKU-Auswahl die Option <em>in Vertretung</em> für eine Anmeldung in Vertretung standardmäßig aktiviert und diese Einstellung kann durch die BenutzerIn oder den Benutzer nicht geändert werden. </td> </tr> </table> <p> </p> -<p><strong>Hinweis:</strong> Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung.</p> +<p><strong>Hinweis:</strong> Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung. Die Funktionalität der entsprechenden Parameter hat jedoch weiterhin Einfluss auf den Anmeldevorgang.</p> <h3><a name="konfigurationsparameter_oa_sso" id="uebersicht_zentraledatei_aktualisierung22"></a>3.2.4 Single Sign-On (SSO)</h3> <p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu Single Sign-On</p> <table width="1248" border="1"> @@ -1484,7 +1570,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der <p> </p> <p><strong>Hinweis:</strong> Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung.</p> <h3><a name="konfigurationsparameter_oa_protocol" id="uebersicht_zentraledatei_aktualisierung24"></a>3.2.6 Authentifizierungsprotokolle</h3> -<p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterstützen Authentifizierungsprotokollen. Eine Verwendung aller zur Verfügung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls möglich. Hierfür muss nur alle benötigten Protokolle konfiguriert werden. Nähere Informationen zu den unterstützten Protokollen finden sie im Kapitel Protokolle. TODO:</p> +<p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterstützen Authentifizierungsprotokollen. Eine Verwendung aller zur Verfügung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls möglich. Hierfür müssen nur alle benötigten Protokolle konfiguriert werden. Nähere Informationen zu den unterstützten Protokollen finden sie im Kapitel <a href="./../protocol/protocol.html">Protokolle</a>.</p> <p>Aus gründen der Übersichtlichkeit kann der Konfigurationsbereich für jeden Protokoll, in der Web-Oberfläche des Konfigurationstools, ein- oder ausgeblendet werden.</p> <h4><a name="konfigurationsparameter_oa_protocol_saml1" id="uebersicht_zentraledatei_aktualisierung25"></a>3.2.6.1 SAML1</h4> <p>Für das Protokoll SAML1 stehen folgende Konfigurationsparameter zur Verfügung.</p> @@ -1556,14 +1642,14 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der <td> </td> <td align="center"> </td> <td align="center">X</td> - <td>Wird diese Option gewählt erfolgt nach dem Speicher der Konfiguration eine Neu-initialisierung der PVP 2.1 Metadaten der Online-Applikation durch die MOA-ID-Auth Instanz. </td> + <td>Wird diese Option gewählt erfolgt nach dem Speicher der Konfiguration eine Neuinitialisierung der PVP 2.1 Metadaten der Online-Applikation durch die MOA-ID-Auth Instanz. </td> </tr> <tr> <td>URL zu den Metadaten</td> <td>http://demo.egiz.gv.at/demologin-pvp2-sso/metadata/demoportal-pvp2-sso.mdxml</td> <td align="center"> </td> <td align="center"> </td> - <td>URL unter der die MOA-ID-Auth Instanz die Metadaten der Online-Applikation beziehen kann. Diese Metadaten müssen durch die Online-Applikation signiert sein. Für den Fall das die Metadaten über https abgeholt werden, muss ja jeweilige Serverzertifikat zur Zertifikatsprüfung im <a href="../install/install.html#webservice_basisinstallation_installation_spssdeploy">TrustStore der MOA-ID-Auth Instanz</a> hinterlegt sein. + <td>URL unter der die MOA-ID-Auth Instanz die Metadaten der Online-Applikation beziehen kann. Diese Metadaten müssen durch die Online-Applikation signiert sein. Für den Fall das die Metadaten über https abgeholt werden, muss ja jeweilige Serverzertifikat zur Zertifikatsprüfung im <a href="../install/install.html#webservice_basisinstallation_installation_spssdeploy">TrustStore der MOA-ID-Auth Instanz</a> hinterlegt sein. Die Metadaten werden anschließend durch MOA-ID-Auth innerhalb des in den Metadaten angegebenen Gültigkeitszeitraums automatisch aktuallisiert. Das Aktuallisierungsintervall bei automatischer Aktualisierung beträgt jedoch mindestens 15 Minuten jedoch nicht mehr als 24 Stunden. (Interval: 15min < Aktualisierungszeitpunkt < 24 Stunden) <p><b>Hinweis:</b> Metadaten können nur über http oder https bezogen werden. Das Laden von Metadaten aus dem lokalen Verzeichnissystem ist nicht möglich.</p></td> </tr> <tr> @@ -1618,7 +1704,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der <p> </p> <h3><a name="konfigurationsparameter_oa_additional" id="uebersicht_zentraledatei_aktualisierung28"></a>3.2.7 Zusätzliche allgemeine Einstellungen</h3> <p>In Abschnitt ermöglicht eine erweiterte online-applikationsspezifische Individualisierung des AuthBlocks und der Bürgerkartenauswahl. -Die Individualisierung des AuthBlocks steht jedoch dann zur Verfügung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation (siehe Kapitel TODO:) verwendet wird oder +Die Individualisierung des AuthBlocks steht jedoch dann zur Verfügung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation verwendet wird oder wenn die individuelle Security-Layer Transformation den Formvorschriften der Spezifikation entspricht.</p> <table width="1250" border="1"> <tr> @@ -1781,7 +1867,9 @@ Exportfunktion verwendet werden.</p> <h2><a name="import_template_" id="uebersicht_zentraledatei_Templates"></a>4 Templates</h2> <p>Dieser Abschnitt spezifiziert den Mindestaufbau der Templates für die BKU Auswahl, die Single Sign-On Anmeldeabfrage und die Security-Layer Request Templates welche vo Module MOA-ID-Auth verwendet werden. Alle hier beschriebenen Templates werden durch MOA-ID-Auth geladen, erweitert und gegebenfalls der Benutzerin oder dem Benutzer im Web-Browser dargestellt. Um einen korrekten Anmeldeprozess zu gewährleisten müssen diese Templates mindestens folgende Formvorschriften und Strukturen aufweisen.</p> <h3><a name="import_template_bku" id="uebersicht_zentraledatei_aktualisierung6"></a>4.1 Bürgerkartenauswahl</h3> -<p>Das BKU Template dient im Anmeldeprozess der Auswahl der gewünschten Bürgerkatenumgebung oder Handy-Signature. Nach erfolgter Auswahl durch die Benutzer oder dem Benutzer wird diese an MOA-ID-Auth übermittelt. Für die Übermittlung an MOA-ID-Auth ist ein http GET Request vorgesehen welcher folgende Parameter unterstützt. Die URL dieses http GET Request wird automatisiert über den Parameter „#AUTH_URL#“ (ohne „“) eingetragen und muss nicht manuell hinterlegt werden. Folgende http GET Parameter werden für die BKU-Auswahl akzeptiert.</p> +<p>Das BKU Template dient im Anmeldeprozess der Auswahl der gewünschten Bürgerkatenumgebung oder Handy-Signature. Nach erfolgter Auswahl durch die Benutzer oder dem Benutzer wird diese an MOA-ID-Auth übermittelt. </p> +<p><strong>Hinweis:</strong> In der Datei <em>./htmlTemplates/loginFormFull.html</em> welcher sich relativ zur <a href="#uebersicht_bekanntmachung">MOA-ID-Auth Konfigurationsdatei</a> befindet finden Sie das Standard Template welches für den Anmeldevorgang verwendet wird, wenn kein online-applikationsspezifisches Template hinterlegt wurde. Dieses Standard Template unterstützt Responsive Design und passen sich somit in einem weiten Bereich an die aktuelle Fenstergröße an.</p> +<p>Für die Übermittlung an MOA-ID-Auth ist ein http GET Request vorgesehen welcher folgende Parameter unterstützt. Die URL dieses http GET Request wird automatisiert über den Parameter „#AUTH_URL#“ (ohne „“) eingetragen und muss nicht manuell hinterlegt werden. Folgende http GET Parameter werden für die BKU-Auswahl akzeptiert.</p> <table width="1201" border="1"> <tr> <th width="167" scope="col">Name</th> @@ -1876,9 +1964,11 @@ Einige dieser Parameter werden jedoch nicht durch den Benutzer oder dem Service <input type="submit" value=">lokale Bürgerkartenumgebung"><br> </form> </pre> -<p>Als Beispiel für ein BKU-Auswahl Template steht auch das bei MOA-ID-Auth hinterlegte Standardtemplate zur Verfügung. Dieses finden Sie <a href="../../htmlTemplates/BKU-selection.html">hier</a>.</p> +<p>Als Beispiel für ein BKU-Auswahl Template steht auch das bei MOA-ID-Auth hinterlegte Standardtemplate zur Verfügung. Dieses finden Sie <a href="../../htmlTemplates/BKU-selection.html">hier</a>. </p> <h3><a name="import_template_sso" id="uebersicht_zentraledatei_aktualisierung7"></a>4.2 Single Sign-On Anmeldeabfrage</h3> -<p>Das Send-Assertion Template dient im Falle einer Anmeldung mittels Single Sign-On der Abfrage ob die Anmeldedaten an die betreffende Online Applikation übertragen werden dürfen. Ähnlich dem Template für die Bürgerkartenauswahl müssen auch hierbei Formvorschriften und Strukturen im Aufbau des Templates eingehalten werden.<br> +<p>Das Send-Assertion Template dient im Falle einer Anmeldung mittels Single Sign-On der Abfrage ob die Anmeldedaten an die betreffende Online Applikation übertragen werden dürfen. </p> +<p><strong>Hinweis:</strong> In der Datei <em>./htmlTemplates/sendAssertionFormFull.html</em> welcher sich relativ zur <a href="#uebersicht_bekanntmachung">MOA-ID-Auth Konfigurationsdatei</a> befindet finden Sie das Standard Template welches für den Anmeldevorgang verwendet wird, wenn kein online-applikationsspezifisches Template hinterlegt wurde. Dieses Standard Template unterstützt Responsive Design und passen sich somit in einem weiten Bereich an die aktuelle Fenstergröße an.</p> +<p>Ähnlich dem Template für die Bürgerkartenauswahl müssen auch hierbei Formvorschriften und Strukturen im Aufbau des Templates eingehalten werden.<br> Für die Übermittlung an das Modul MOA-ID-Auth ist ein http POST Request vorgesehen welcher folgende Parameter unterstützt. Die URL, an welche dieser http POST Request gesendet werden muss, wird automatisiert über den Parameter „#URL#“ (ohne „“) eingetragen und muss nicht manuell hinterlegt werden.</p> <table width="1201" border="1"> <tr> @@ -2014,6 +2104,21 @@ Die nachfolgenden Form zeigt ein Beispiel für den Aufbau des im BKU-Auswah </tr> </table> <p> </p> +<p><strong>Hinweis: </strong>Das in MOA-ID 1.5.1 verwendete Security-Layer Template ist kompatibel zu dem in MOA-ID 2.0 verwendeten Security-Layer Template. Jedoch stehen bei dem Template aus MOA-ID 1.5.1 die zusätzlichen Parameter zur Konfiguration mittels Konfigurationstool nicht zur Verfügung.</p> +<h1><a name="sp-config" id="sp-config">5 Konfiguration von MOA-SP</a></h1> +<p>MOA-ID überprüft die Signaturen der Personenbindung und des AUTH-Blocks mit dem VerifyXMLSignatureRequest von MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. <br> + <br> + <strong verifytransformsinfoprofile"="">VerifyTransformsInfoProfile</strong><br> + Der Request zum überprüfen der Signatur des AUTH-Blocks verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die im Request verwendete Profil-ID wird in der MOA-ID-Auth Konfiguration im Parameter <a href="#konfigurationsparameter_allgemein_moasp">Authentfizierungsblock Transformationen</a> definiert. Entsprechend muss am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung von MOA-ID in $MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlockTable_DE_2.0.xml enthalten. Diese Profildefinition muss unverändert übernommen werden. </p> +<p id="trustProfile"> <strong>TrustProfile</strong><br> +Die Requests zur überprüfung der Signatur verwenden vordefinierte TrustProfile. Die im Request verwendete Profil-IDs werden in der MOA-ID-Auth Konfiguration in den Parametern <a href="#konfigurationsparameter_allgemein_moasp">Personenbindung Trustprofil</a> und <a href="#konfigurationsparameter_allgemein_moasp">Authentfizierungsblock Trustprofil</a> definiert. Diese beiden Elemente können unterschiedliche oder identische TrustProfileIDs enthalten. Am MOA-SP Server müssen TrustProfile mit gleichlautender ID definiert werden. Die Auslieferung von MOA-ID enthält das Verzeichnis $MOA_ID_INST_AUTH/conf/moa-spss/trustprofiles/MOAIDBuergerkarteRoot, das als TrustProfile verwendet werden kann. Weitere Zertifikate können als vertrauenswürdig hinzugefügt werden. </p> +<p id="certstore"> <strong>Certstore</strong><br> +Zum Aufbau eines Zertifikatspfades können benötigte Zertifikate aus einem Zertifikatsspeicher verwendet werden. Die Auslieferung von MOA-ID enthält das Verzeichnis $MOA_ID_INST_AUTH/conf/moa-spss/certstore, das als initialer Zertifikatsspeicher verwendet werden kann. </p> +<p>Hinweis: Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues Format für die XML-Konfigurationsdatei. Für die Konvertierung einer älteren Konfigurationsdatei auf das neue Format steht Ihnen ein Tool zur Verfügung. Details dazu finden sie in der der Distribution von MOA-SP/SS beiligenden Dokumentation im Kapitel 'Konfiguration', Abschnitt 1.2.1.</p> +<h1><a name="security" id="security">6 Tomcat Security Manager</a></h1> +<p>Apache Tomcat bietet die Möglichkeit den Server unter einem Security Manager zu betreiben. Damit ist es möglich den lokalen Dateizugriff zu beschränken. Mit Hilfe der Datei "catalina.policy" können so Zugriffe auf lokale Dateien und Verzeichnisse festgelegt werden. Eine beispielhafte catalina.policy Datei finden Sie im Verzeichnis $MOA_ID_INST_AUTH/tomcat. Diese Datei wurde unter Apache Tomcat 4.1.31, 5.0.28 und 5.5.27 getestet. </p> +<p>Mehr Informationen zum Security Manager entnehmen Sie bitte der entsprechenden Apache Tomcat Dokumentation. </p> +<p> </p> <h1><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h1> <table class="fixedWidth" border="1" cellpadding="2"> <tbody> |