diff options
Diffstat (limited to 'id/server/doc/handbook/config/config.html')
| -rw-r--r-- | id/server/doc/handbook/config/config.html | 86 |
1 files changed, 54 insertions, 32 deletions
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 48ca18305..3565de210 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -145,10 +145,12 @@ <li><a href="#import_template_sltemplate">Security-Layer Request</a></li> </ol> </li> + <li><a href="#sp-config">Konfiguration von MOA-SP</a></li> + <li><a href="#security">Tomcat Security Manager</a></li> </ol> - <ol type="A"> +<ol type="A"> <li><a href="#referenzierte_spezifikation">Referenzierte Spezifikation</a></li> - </ol> +</ol> <hr/> <h1><a name="uebersicht" id="uebersicht"></a>1 Übersicht </h1> <p>Dieses Handbuch beschreibt detailliert die Konfigurationsmöglichkeiten für die Module MOA-ID-Auth und MOA-ID-Configuration. Wobei das zentrale Einsatzgebiet des Modules MOA-ID-Configuration die Konfiguration des Modules MOA-ID-Auth darstellt.</p> @@ -163,7 +165,7 @@ </ol> <p>Optional kann nach dem Schritt 3 Basiskonfiguration des Modules MOA-ID-Auth eine <a href="#import_export_legacy">bestehende MOA-ID 1.5.1 Konfiguration importiert</a> werden. Für bestehende Konfigurationen < 1.5.1 wird eine vollständige Neukonfiguration empfohlen.</p> <h1><a name="uebersicht_zentraledatei" id="uebersicht_zentraledatei"></a>2 Basiskonfiguration</h1> -<p>Die Basiskonfiguration für die Module MOA-ID-Auth und MOA-ID-Configuration erfolgt mit Hilfe einer textuellen propertie Datei. Diese Propertie Dateien beinhalten alle Konfigurationsparameter welche für den Start der Module erforderlich sind und müssen der Java Virtual Machine durch eine System Property mitgeteilt werden. Alle Änderungen die an der Basiskonfiguration vorgenommen werden erfordern einen Neustart der jeweiligen Java Virtual Machine. </p> +<p>Die Basiskonfiguration für die Module MOA-ID-Auth und MOA-ID-Configuration erfolgt mit Hilfe textueller propertie Dateien. Diese Propertie Dateien beinhalten alle Konfigurationsparameter welche für den Start der Module erforderlich sind und müssen der Java Virtual Machine durch eine System Property mitgeteilt werden. Alle Änderungen die an der Basiskonfiguration vorgenommen werden erfordern einen Neustart der jeweiligen Java Virtual Machine. </p> <h2><a name="uebersicht_zentraledatei_aktualisierung" id="uebersicht_zentraledatei_aktualisierung"></a>2.1 MOA-ID-Configuration</h2> <p>Dieser Abschnitt behandelt die Basiskonfiguration des Modules MOA-ID-Configuration. Der erste Teilabschnitt behandelt die Bekanntmachung der Konfigurationsdatei mittels einer System Property und der zweite Teilabschnitt beschreibt die einzelnen Konfigurationsparameter im Detail. Eine Konfiguration die als Ausgangspunkt für die individuelle Konfiguration verwendet werden kann finden Sie <a href="../../conf/moa-id-configuration/moa-id-configtool.properties">hier</a>.</p> <h3><a name="moa_id_config_property" id="uebersicht_zentraledatei_aktualisierung7"></a>2.1.1 Bekanntmachung der Konfigurationsdatei</h3> @@ -202,7 +204,7 @@ </tr> </table> <h4><a name="moa_id_config_parameters_database" id="uebersicht_zentraledatei_aktualisierung10"></a>2.1.2.2 Datenbankzugriff</h4> -<p>Diese Konfigurationsparameter sind nicht optional und müssen in der Konfigurationsdatei enthalten sein und individuell angepasst werden. Für Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Configuration kann jedoch auch mit Datenbanken anderer Hersteller betrieben werden. Hierfür wird jedoch auf die <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> verwiesen, welches im Module MOA-ID-Configuration für den Datenbankzugriff verwendet wird. </p> +<p>Diese Konfigurationsparameter sind nicht optional und müssen in der Konfigurationsdatei enthalten sein und individuell angepasst werden. Für die Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Configuration kann jedoch auch mit Datenbanken anderer Hersteller betrieben werden. Hierfür wird jedoch auf die <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> verwiesen, welches im Module MOA-ID-Configuration für den Datenbankzugriff verwendet wird. </p> <table width="1247" border="1"> <tr> <th width="209" scope="col">Name</th> @@ -238,7 +240,7 @@ <p> </p> <p>Die Beispielkonfiguration beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detaillierte Beschreibung der einzelnen Einstellungsparameter kann der <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> entnommen werden.</p> <h4><a name="moa_id_config_parameters_pvp2" id="uebersicht_zentraledatei_aktualisierung11"></a>2.1.2.3 Bürgerkarten LogIn</h4> -<p>Zusätzlich zur Authentifizierung mittels Benutzername und Passwort unterstützt das Modul MOA-ID-Configuration auch eine Authentifizierung mittels Bürgerkarte oder Handy-Signatur unter Verwendung des <a href="./protocol/protocol.html">Authentifizierungsprotokolls PVP2.1</a>. Wenn eine Authentifizierung mittels Bürgerkarte oder Handy-Signatur gewünscht wird müssen die nachfolgen Konfigurationsparameter gesetzt werden.</p> +<p>Zusätzlich zur Authentifizierung mittels Benutzername und Passwort unterstützt das Modul MOA-ID-Configuration auch eine Authentifizierung mittels Bürgerkarte oder Handy-Signatur unter Verwendung des <a href="./protocol/protocol.html">Authentifizierungsprotokolls PVP2.1</a>. Wenn eine Authentifizierung mittels Bürgerkarte oder Handy-Signatur gewünscht wird müssen die nachfolgen Parameter konfiguriert werden.</p> <table width="1247" border="1"> <tr> <th width="395" scope="col">Name</th> @@ -270,7 +272,7 @@ <td>general.login.pvp2.idp.sso.logout.url</td> <td>https://demo.egiz.gv.at/moa-id-auth/LogOut?redirect=<br> https://demo.egiz.gv.at/moa-id-configuration</td> - <td>URL zum Single Log-Out (SLO) Service des IDP. Details zum SLO Service von MOA-ID-Auth finden Sie <a href="./protocol/protocol.html">hier</a>.</td> + <td>URL zum Single Log-Out (SLO) Service des IDP. Details zum SLO Service von MOA-ID-Auth finden Sie <a href="./protocol/protocol.html#allgemeines_ssologout">hier</a>.</td> </tr> <tr> <td>general.login.pvp2.metadata.entities.name</td> @@ -432,6 +434,7 @@ https://<host>:<port>/moa-id-configuration/servlet/metadata</pre> https://<host>:<port>/moa-id-configuration/secure/usermanagementInit.action</pre> <p>Mit Hilfe dieser Benutzerverwaltung kann ein neuer Benutzeraccount am Konfigurationstool angelegt und ein Kennwort für den Benutzer vergeben werden. Zusätzlich müssen dem neu erstellte Benutzer die Eigenschaften <em>aktiv</em> und <em>admin</em> zugewiesen werden. Nach dem speichern wird der neu angelegte Benutzer in der Liste aller vorhandenen Benutzern dargestellt.</p> <p>Hiermit ist die Initialisierung des Moduls MOA-ID-Configuration abgeschlossen und die Authentifizierung kann wieder aktiviert werden (siehe <em>general.login.deaktivate</em> <a href="#moa_id_config_parameters_generel">Abschnitt 2.2.2.1</a>). Anschließend muss die Java Virtual Machine, in welchem das Modul MOA-ID-Configuration betrieben wird, neu gestartet werden.</p> +<p><b>Hinweis:</b> Ein Betrieb des Moduls MOA-ID-Configuration ohne Authentifizierung ist ebenfalls möglich. In diesem Fall wird jedoch empfohlen den Zugriff auf das Konfigurationstool mit anderen Mitteln einzuschränken.</b></p> <h3><a name="moa_id_config_user" id="uebersicht_zentraledatei_aktualisierung14"></a>2.1.4 Benutzerverwaltung</h3> <p>Das Modul MOA-ID-Configuration unterstützt die Benützung und Verwaltung unterschiedlicher Benutzeraccounts. Hierfür stellt die Web-Oberfläche des Modules MOA-ID-Configuration ein spezielles Interface zur Benutzerverwaltung zur Verfügung. </p> <h4><a name="moa_id_config_user_add" id="uebersicht_zentraledatei_aktualisierung15"></a>2.1.4.1 Einen neuen Benutzer erstellen</h4> @@ -503,11 +506,11 @@ https://<host>:<port>/moa-id-configuration/secure/usermanagementInit <ol> <li><strong>Durch Administrator:</strong> Bei dieser Variante wird der neue Benutzeraccount durch einen Administrator über die Web-Oberfläche erstellt und aktiviert. In diesem Fall müssen alle geforderten Daten durch den Administrator eingetragen werden. Bei dieser Variante ist die Validierung der eMail Adresse nicht zwingend erforderlich, kann jedoch optional aktiviert werden.<br> </li> - <li><strong>Durch PVP 2.1 Login:</strong> Bei dieser Variante wird die Generierung eines neues Benutzeraccounts durch einen Loginversuch mittels Bürgerkarte oder Handy-Signatur ausgelöst. Nach erfolgreicher Authentifizierung wird die BenutzerIn /der Benutzer an Konfigurationstool weitergeleitet. Hierbei wird geprüft ob aktuell ein Benutzeraccount für diese Person existiert. Wenn kein Account existiert wird die BenutzerIn / der Benutzer aufgefordert die fehlenden Informationen für die Registrierung eines neuen Benutzeraccounts einzutragen. In diesem Fall muss die eMail Adresse durch die BenutzerIn / den Benutzer zwingend validiert werden wofür der <a href="#moa_id_config_parameters_mail">Mailversand</a> am Module MOA-ID-Configuration konfiguriert sein muss. Nach erfolgreicher Validierung der eMail Adresse ist der Benutzeraccount als nicht aktiv registriert und muss anschließend durch einen Administrator aktiviert werden. Erst nach erfolgreicher Aktivierung ist eine gültige Anmeldung möglich.<br> + <li><strong>Durch PVP 2.1 Login:</strong> Bei dieser Variante wird die Generierung eines neues Benutzeraccounts durch einen Loginversuch mittels Bürgerkarte oder Handy-Signatur ausgelöst. Nach erfolgreicher Authentifizierung wird die BenutzerIn / der Benutzer an Konfigurationstool weitergeleitet. Hierbei wird geprüft ob aktuell ein Benutzeraccount für diese Person existiert. Wenn kein Account existiert wird die BenutzerIn / der Benutzer aufgefordert die fehlenden Informationen für die Registrierung eines neuen Benutzeraccounts einzutragen. In diesem Fall muss die eMail Adresse durch die BenutzerIn / den Benutzer zwingend validiert werden wofür der <a href="#moa_id_config_parameters_mail">Mailversand</a> am Module MOA-ID-Configuration konfiguriert sein muss. Nach erfolgreicher Validierung der eMail Adresse ist der Benutzeraccount als nicht aktiv registriert und muss anschließend durch einen Administrator aktiviert werden. Erst nach erfolgreicher Aktivierung ist eine gültige Anmeldung möglich.<br> Sollte die Validierung der eMail Adresse nicht innerhalb des in <a href="#moa_id_config_parameters_generel">Abschnitt 2.2.1.1</a> konfigurierten Zeitraums erfolgen, wird die Benutzeranforderung automatisch gelöscht und die BenutzerIn / der Benutzer muss sich erneut am Konfigurationstool registrieren.</li> </ol> <h4><a name="moa_id_config_user_role" id="uebersicht_zentraledatei_aktualisierung16"></a>2.1.4.2 Benutzerrechte</h4> -<p>Alle Benutzer die Admin–Rechte (Eigenschaft <em>admin</em>) besitzen haben vollen Zugriff auf die gesamte Konfiguration der verwalteten MOA-ID-Auth Instanz. Benutzer ohne Admin-Rechten stehen folgende Operationen nicht oder nur eingeschränkt zur Verfügung. </p> +<p>Alle Benutzer die Admin–Rechte (Eigenschaft <em>admin</em>) besitzen haben vollen Zugriff auf die gesamte Konfiguration der verwalteten MOA-ID-Auth Instanz. Benutzer ohne Admin-Rechten stehen nur folgende Operationen zur Verfügung wobei diese auch besondere Einschränkungen aufweisen können.</p> <ul> <li><strong>Online-Applikationen bearbeiten:</strong> Ein Benutzer ohne Admin-Rechte kann nur jene Online-Applikationen bearbeiten die von ihm erstellt wurden. Das bearbeiten fremder Online-Applikationen ist nicht möglich. Folgende Parameter können durch diesen Benutzer bearbeitet werden. <ul> @@ -576,7 +579,7 @@ https://<host>:<port>/moa-id-configuration/secure/usermanagementInit </tr> </table> <p> </p> -<p>Wenn das interne Monitoring aktiviert wurde kann ein Testvorgang durch folgende Adresse gestartet werden.</p> +<p>Wenn das interne Monitoring aktiviert wurde kann ein Testvorgang durch einen Aufruf der folgenden Adresse gestartet werden.</p> <pre>http://<host>:<port>/moa-id-auth/MonitoringServlet</pre> <p>bzw. </p> <pre> @@ -605,7 +608,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet</pre> <tr> <td>service.moasp.acceptedServerCertificates</td> <td>certs/moa-sp-server/</td> - <td>Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <TrustedCACertificates> TODO!! angegebenen Zertifikaten erstellt werden kann.</td> + <td>Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <TrustedCACertificates> (siehe <a href="#konfigurationsparameter_allgemein_certvalidation">Kapitel 3.1.4</a>) angegebenen Zertifikaten erstellt werden kann.</td> </tr> </table> <p> </p> @@ -660,7 +663,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet</pre> </table> <p> </p> <h4><a name="basisconfig_moa_id_auth_param_protocol" id="uebersicht_bekanntmachung9"></a>2.2.2.3 Protokolle</h4> -<p>MOA-ID-Auth unterstützt mehrere Authentifizierungsprotokolle zwischen einer Online-Applikation und MOA-ID-Auth. Manche dieser Protokolle benötigen Schlüssel zur Signierung von Authentifizierungsdaten. In diesem Abschnitt erfolgt die Konfiguration des zu verwendeten Schlüsselmaterials. </p> +<p>MOA-ID-Auth unterstützt mehrere Authentifizierungsprotokolle. Manche dieser Protokolle benötigen Schlüssel zur Signierung von Authentifizierungsdaten oder Metadaten. In diesem Abschnitt erfolgt die Konfiguration des zu verwendeten Schlüsselmaterials. </p> <h5><a name="basisconfig_moa_id_auth_param_protocol_pvp21" id="uebersicht_bekanntmachung10"></a>2.2.2.3.1 PVP 2.1</h5> <table width="1247" border="1"> <tr> @@ -849,7 +852,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet</pre> <p>Detailinformationen zur Konfiguration der STORK Erweiterung für das Modul MOA-ID-Auth entnehmen Sie bitte der <a href="#referenzierte_spezifikation">STORK Spezifikation</a>.</p> <h1><a name="konfigurationsparameter"></a>3 Konfiguration MOA-ID-Auth</h1> <p>Dieses Abschnitt beschreibt die Konfiguration des Modules MOA-ID-Auth mithilfe der durch das Modul MOA-ID-Configuration zur Verfügung gestellten Web-Oberfläche. Hierzu muss das Konfigurationstool (Module MOA-ID-Konfiguration) bereits installiert und konfiguriert sein (siehe <a href="#uebersicht_zentraledatei_aktualisierung">Kapitel 2.1</a>). Nach erfolgreichem Login am Konfigurationstool kann das Modul MOA-ID-Auth über die Web-Oberfläche konfiguriert werden.</p> - <p>Die Konfiguration von MOA-ID-Auth ist in zwei Teilbereiche unterteilet. Diese behandeln die Allgemeine Konfiguration der MOA-ID-Auth Instanz und die Konfiguration von Online-Applikationen (Service Providern) die dieser MOA-ID-Auth Instanz zugeordnet sind.</p> + <p>Die Konfiguration von MOA-ID-Auth ist in zwei Teilbereiche unterteilet. Diese behandeln die Allgemeine Konfiguration der MOA-ID-Auth Instanz und die Konfiguration von Online-Applikationen (Service Providern) welche dieser MOA-ID-Auth Instanz zugeordnet sind.</p> <h2><a name="konfigurationsparameter_allgemein" id="konfigurationsparameter_allgemein"></a>3.1 Allgemeine Konfiguration</h2> <p>Die Allgemeine Konfiguration des Modules MOA-ID-Auth umfasst alle nicht online-applikationsspezifischen Konfigurationsparameter. Die Konfiguration dieser Parameter erfolgt über eine Web-Oberfläche, welche Eingabefelder für jeden Konfigurationsparameter zur Verfügung stellt. Jedes Eingabefeld wird validiert bevor der Konfigurationsparameter in der Datenbank gespeichert wird. Die Validierung erfolgt auf Basis des zu erwartenden Eingabewerts, wobei der erlaubte Zeichensatz für freidefinierbare textuelle Eingabefelder eingeschränkt sein kann. Detailinformationen zum erlaubten Zeichen finden Sie bei der jeweiligen Beschreibung des Konfigurationsparameters. </p> @@ -871,7 +874,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet</pre> </tr> </table> <h3><a name="konfigurationsparameter_allgemein_bku" id="konfigurationsparameter_allgemein_bku"></a>3.1.2 Default BKUs</h3> -<p>Hiermit werden die URLs zu den Default Bürgerkartenumgebungen (BKUs) definiert die von MOA-ID-Auth für einen Anmeldevorgang verwendet werden, wenn die Bürgerkartenauswahl nicht bereits auf Seiten der Online-Applikation erfolgt ist (siehe Protokolle: TODO) oder in der Online-Applikationskonfiguration keine BKU URLs konfiguriert wurden (siehe <a href="#konfigurationsparameter_oa_bku">Kapitel 3.2.2</a>).</p> +<p>Hiermit werden die URLs zu den Default Bürgerkartenumgebungen (BKUs) definiert die von MOA-ID-Auth für einen Anmeldevorgang verwendet werden, wenn die Bürgerkartenauswahl nicht bereits auf Seiten der Online-Applikation erfolgt ist (siehe <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Request</a>) oder in der Online-Applikationskonfiguration keine BKU URLs konfiguriert wurden (siehe <a href="#konfigurationsparameter_oa_bku">Kapitel 3.2.2</a>).</p> <table width="1247" border="1"> <tr> <th width="89" scope="col">Name</th> @@ -973,8 +976,8 @@ Checking</td> </tr> </table> <h3><a name="konfigurationsparameter_allgemein_moasp" id="konfigurationsparameter_allgemein_bku5"></a>3.1.6 MOA-SP</h3> -<p>Der Abschnitt MOA-SP Konfiguration enthält Parameter zur Nutzung von MOA-SP. MOA-SP wird für die Überprüfung der Signatur der Personenbindung und des AUTH-Blocks verwendet.</p> -<p>MOA-SP muss entsprechend konfiguriert werden - siehe hierzu Abschnitt <a href="http://joinup.ec.europa.eu/site/moa-idspss/moa-id-1.5.1/doc/moa_id/id-admin_2.htm#sp-config">Konfiguration von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP finden sie in der Distribution von MOA-SP/SS beiliegenden Dokumentation im Abschnitt 'Konfiguration'. </p> +<p>Der Abschnitt MOA-SP Konfiguration enthält Parameter zur Nutzung von MOA-SP. MOA-SP wird für die Überprüfung der Signatur der Personenbindung und des AUTH-Blocks verwendet.</p> +<p>MOA-SP muss entsprechend konfiguriert werden - siehe hierzu Abschnitt <a href="#sp-config"> Konfiguration von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP finden sie in der Distribution von MOA-SP/SS beiliegenden Dokumentation im Abschnitt 'Konfiguration'. </p> <table width="1247" border="1"> <tr> <th width="164" scope="col">Name</th> @@ -1119,7 +1122,7 @@ Checking</td> <p>In diesem Abschnitt können die einzelnen von MOA-ID-Auth unterstützen Authentifizierungsprotokolle aktiviert oder deaktiviert werden. Diese Einstellung gilt für die gesamte MOA-ID-Auth Instanz.</p> <h4><a name="konfigurationsparameter_allgemein_protocol_legacy" id="konfigurationsparameter_allgemein_bku11"></a>3.1.10.2 Legacy Modus</h4> <p>Ab der Version 2.0 des Modules MOA-ID-Auth wird die Bürgerkartenauswahl standardmäßig von MOA-ID-Auth bereitgestellt und erfolgt im Kontext von MOA-ID-Auth. Dem zu Folge müssen die aus MOA-ID 1.5.1 bekannten StartAuthentication Parameter (target, bkuURL, template, usemandate) nicht mehr im StartAuthentication Request übergeben werden.</p> -Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der Online-Applikation erfolgen muss für das jeweilige Protokoll der Legacy Modus aktiviert werden. Wird der Legacy Modus verwendet müssen jedoch die bkuURL, das Security-Layer Template und der Target mit den bei MOA-ID-Auth hinterlegten Konfigurationsparametern der Online-Applikation übereinstimmten. Detailinformationen hierzu finden Sie im Kapitel Protokolle. TODO: +Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der Online-Applikation erfolgen muss für das jeweilige Protokoll der Legacy Modus aktiviert werden. Wird der Legacy Modus verwendet müssen jedoch die bkuURL, das Security-Layer Template und der Target mit den bei MOA-ID-Auth hinterlegten Konfigurationsparametern der Online-Applikation übereinstimmten. Detailinformationen hierzu finden Sie im Kapitel <a href="./../protocol/protocol.html#allgemeines_legacy">Protokolle</a>. <h4><a name="konfigurationsparameter_allgemein_protocol_saml1" id="konfigurationsparameter_allgemein_bku12"></a>3.1.10.3 SAML1 Konfiguration</h4> <p>Die SourceID ist ein Teil des SAML1 Artifacts welches zur Abholung der SAML1 Assertion an die Online-Applikation zurückgegeben wird. Standardmäßig wird die SourceID aus der URL der jeweiligen Online-Applikation, an der die Anmeldung stattfinden, generiert. Optional kann jedoch eine SourceID für die gesamte MOA-ID-Auth Instanz vergeben werden, welche für alle Online-Applikationen verwendet wird.</p> <table width="1247" border="1"> @@ -1212,7 +1215,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der </tr> </table> <h3><a name="konfigurationsparameter_allgemein_sltransform" id="konfigurationsparameter_allgemein_bku14"></a>3.1.11 Security-Layer Transformationen</h3> -<p>Die Security-Layer (SL) Transformation, welche von MOA-ID-Auth für die Erstellung der Signatur des AuthBlock verwendet werden soll, muss hier angegeben werden. Über das Datei-Upload Feld kann die zu verwendende Transformation hochgeladen werden. Diese befindet sich in der MOA-ID-Auth Defaultkonfiguration im Ordner <em>/conf/moa-id/transforms/ TransformsInfoAuthBlockTable_DE_2.0.xml</em>. TODO: URL</p> +<p>Die Security-Layer (SL) Transformation, welche von MOA-ID-Auth für die Erstellung der Signatur des AuthBlock verwendet werden soll, muss hier angegeben werden. Über das Datei-Upload Feld kann die zu verwendende Transformation hochgeladen werden. Diese befindet sich in der MOA-ID-Auth Defaultkonfiguration im Ordner <em><a href="./../../../conf/moa-id/transforms/TransformsInfoAuthBlockTable_DE_2.0.xml">/conf/moa-id/transforms/ TransformsInfoAuthBlockTable_DE_2.0.xml</a></em>.</p> <h2><a name="konfigurationsparameter_oa" id="uebersicht_zentraledatei_aktualisierung3"></a>3.2 Online Applikationen</h2> <p>Die Konfiguration von Online-Applikationen erfolgt ebenfalls mit Hilfe des Moduls MOA-ID-Configuration. Es können sowohl neue Online-Applikationen erstellt als auch bestehende Online-Applikationen bearbeitet oder gelöscht werden. Der erlaubte Konfigurationsumfang hängt jedoch von Role des aktuellen Benutzers ab, wobei eine Konfiguration der gesamten Parameter nur einem Benutzer mit der Role <em>admin</em> möglich ist. Alle Konfigurationsfelder die nur einem Benutzer mit der Role <em>admin</em> zur Verfügung stehen sind gesondert gekennzeichnet.</p> <h3><a name="konfigurationsparameter_oa_general" id="uebersicht_zentraledatei_aktualisierung17"></a>3.2.1 Informationen zur Online-Applikation (Service Provider)</h3> @@ -1290,8 +1293,8 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der <p> </p> <p><strong>Hinweis:</strong> Wird die Online-Applikation durch eine BenutzerIn oder einem Benutzer ohne die Role <em>admin</em> angelegt, wird vor der Speicherung überpüft ob die Online-Applikation alle Anforderungen an eine öffentliche Applikation erfüllt. Die Überprüfung erfolgt auf Basis des eindeutigen Identifikators (Public-URL PRefix) der Online-Applikation und es muss mindestens eine der folgenden Anforderungen erfüllt sein. </p> <ul> - <li>Die öffentliche URL unter der die MOA-ID-Auth Instanz betrieben wird muss einen <em>*.gv.at</em> Domain aufweisen. (Beispiel: https://demo.egiz.gv.at/moa-id-auth)</li> - <li>Der SSL Serverzertifikat der MOA-ID-Auth Instanz weist eine der folgenden Eigenschaften auf. + <li>Die öffentliche URL unter der die Online-Applikation erreichbar ist (Public-URL Prefix) muss einen <em>*.gv.at</em> Domain aufweisen. (Beispiel: https://demo.egiz.gv.at/moa-id-oa)</li> + <li>Der SSL Serverzertifikat der Online-Applikation weist eine der folgenden Eigenschaften auf. <ul> <li>Veraltungseigenschaft (OID=1.2.40.0.10.1.1.1)</li> <li>Dienstleistereigenschaft (OID=1.2.40.0.10.1.1.2)</li> @@ -1369,21 +1372,21 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der <td> </td> <td align="center">X</td> <td align="center">X</td> - <td>Über diese Funktion können drei zusätzliche SecurtityLayer-Request Templates für diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zusätzliche WhiteList für Templetes welche im „StartAuthentication“ Request mit dem Parameter „template“ übergeben werden. Sollte im „StartAuthentication“ Request der Parameter „template“ fehlen, es wurde jedoch eine „bkuURL“ übergeben, dann wird für den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum legacy Request finden Sie im Kapitel Protokolle. TODO:</td> + <td>Über diese Funktion können drei zusätzliche SecurtityLayer-Request Templates für diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zusätzliche WhiteList für Templetes welche im „StartAuthentication“ Request mit dem Parameter „template“ übergeben werden. Sollte im „StartAuthentication“ Request der Parameter „template“ fehlen, es wurde jedoch eine „bkuURL“ übergeben, dann wird für den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Request</a> finden Sie im Kapitel Protokolle.</td> </tr> <tr> <td>BKU-Selection Template</td> <td> </td> <td align="center">X</td> <td align="center">X</td> - <td>Dieses Feld erlaubt die Konfiguration einer online-applikationsspezifischen Templates für die Bürgerkartenauswahl. Dieses Template muss in die Konfiguration hochgeladen werden und muss die Mindestanforderungen aus <a href="#import_template_bku">Kapitel 4.1</a> umsetzen. Da diese Templates direkt in den Authentifizierungsprozess eingreifen und diese somit eine potentielle Angriffsstelle für Cross-Site Scripting (XSS) bieten wird die Verwendung von online-applikationsspezifischen Templates nicht empfohlen. </td> + <td>Dieses Feld erlaubt die Konfiguration eines online-applikationsspezifischen Templates für die Bürgerkartenauswahl. Dieses Template muss in die Konfiguration hochgeladen werden und muss die Mindestanforderungen aus <a href="#import_template_bku">Kapitel 4.1</a> umsetzen. Da diese Templates direkt in den Authentifizierungsprozess eingreifen und diese somit eine potentielle Angriffsstelle für Cross-Site Scripting (XSS) bieten wird die Verwendung von online-applikationsspezifischen Templates nicht empfohlen. </td> </tr> <tr> <td>Send-Assertion Template</td> <td> </td> <td align="center">X</td> <td align="center">X</td> - <td>Dieses Feld erlaubt die Konfiguration einer online-applikationsspezifischen Templates für die zusätzliche Anmeldeabfrage im Falle einer Single Sign-On Anmeldung. Dieses Template muss in die Konfiguration hochgeladen werden und muss die Mindestanforderungen aus <a href="#import_template_sso">Kapitel 4.2</a> umsetzen. Da diese Templates direkt in den Authentifizierungsprozess eingreifen und diese somit eine potentielle Angriffsstelle für Cross-Site Scripting (XSS) bieten wird die Verwendung von online-applikationsspezifischen Templates nicht empfohlen.</td> + <td>Dieses Feld erlaubt die Konfiguration eines online-applikationsspezifischen Templates für die zusätzliche Anmeldeabfrage im Falle einer Single Sign-On Anmeldung. Dieses Template muss in die Konfiguration hochgeladen werden und muss die Mindestanforderungen aus <a href="#import_template_sso">Kapitel 4.2</a> umsetzen. Da diese Templates direkt in den Authentifizierungsprozess eingreifen und diese somit eine potentielle Angriffsstelle für Cross-Site Scripting (XSS) bieten wird die Verwendung von online-applikationsspezifischen Templates nicht empfohlen.</td> </tr> </table> <h3><a name="konfigurationsparameter_oa_mandates" id="uebersicht_zentraledatei_aktualisierung21"></a>3.2.3 Vollmachten</h3> @@ -1483,7 +1486,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der <p> </p> <p><strong>Hinweis:</strong> Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung.</p> <h3><a name="konfigurationsparameter_oa_protocol" id="uebersicht_zentraledatei_aktualisierung24"></a>3.2.6 Authentifizierungsprotokolle</h3> -<p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterstützen Authentifizierungsprotokollen. Eine Verwendung aller zur Verfügung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls möglich. Hierfür muss nur alle benötigten Protokolle konfiguriert werden. Nähere Informationen zu den unterstützten Protokollen finden sie im Kapitel Protokolle. TODO:</p> +<p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterstützen Authentifizierungsprotokollen. Eine Verwendung aller zur Verfügung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls möglich. Hierfür müssen nur alle benötigten Protokolle konfiguriert werden. Nähere Informationen zu den unterstützten Protokollen finden sie im Kapitel <a href="./../protocol/protocol.html">Protokolle</a>.</p> <p>Aus gründen der Übersichtlichkeit kann der Konfigurationsbereich für jeden Protokoll, in der Web-Oberfläche des Konfigurationstools, ein- oder ausgeblendet werden.</p> <h4><a name="konfigurationsparameter_oa_protocol_saml1" id="uebersicht_zentraledatei_aktualisierung25"></a>3.2.6.1 SAML1</h4> <p>Für das Protokoll SAML1 stehen folgende Konfigurationsparameter zur Verfügung.</p> @@ -1555,15 +1558,15 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der <td> </td> <td align="center"> </td> <td align="center">X</td> - <td>Wird diese Option gewählt erfolgt nach dem Speicher der Konfiguration eine Neu-initialisierung der PVP 2.1 Metadaten der Online-Applikation durch die MOA-ID-Auth Instanz. </td> + <td>Wird diese Option gewählt erfolgt nach dem Speicher der Konfiguration eine Neuinitialisierung der PVP 2.1 Metadaten der Online-Applikation durch die MOA-ID-Auth Instanz. </td> </tr> <tr> <td>URL zu den Metadaten</td> <td>http://demo.egiz.gv.at/demologin-pvp2-sso/metadata/demoportal-pvp2-sso.mdxml</td> <td align="center"> </td> <td align="center"> </td> - <td><p>URL unter der die MOA-ID-Auth Instanz die Metadaten der Online-Applikation beziehen kann. Diese Metadaten müssen durch die Online-Applikation signiert sein. Für den Fall das die Metadaten über https abgeholt werden, muss ja jeweilige Serverzertifikat zur Zertifikatsprüfung im <a href="../install/install.html#webservice_basisinstallation_installation_spssdeploy">TrustStore der MOA-ID-Auth Instanz</a> hinterlegt sein.</p> - <p><strong>Hinweis:</strong> Metadaten können nur über http oder https abgeholt werden.</p></td> + <td>URL unter der die MOA-ID-Auth Instanz die Metadaten der Online-Applikation beziehen kann. Diese Metadaten müssen durch die Online-Applikation signiert sein. Für den Fall das die Metadaten über https abgeholt werden, muss ja jeweilige Serverzertifikat zur Zertifikatsprüfung im <a href="../install/install.html#webservice_basisinstallation_installation_spssdeploy">TrustStore der MOA-ID-Auth Instanz</a> hinterlegt sein. Die Metadaten werden anschließend durch MOA-ID-Auth innerhalb des in den Metadaten angegebenen Gültigkeitszeitraums automatisch aktuallisiert. Das Aktuallisierungsintervall bei automatischer Aktualisierung beträgt jedoch mindestens 15 Minuten jedoch nicht mehr als 24 Stunden. (Interval: 15min < Aktualisierungszeitpunkt < 24 Stunden) + <p><b>Hinweis:</b> Metadaten können nur über http oder https bezogen werden. Das Laden von Metadaten aus dem lokalen Verzeichnissystem ist nicht möglich.</p></td> </tr> <tr> <td>Infos zum Zertifikat</td> @@ -1617,7 +1620,7 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der <p> </p> <h3><a name="konfigurationsparameter_oa_additional" id="uebersicht_zentraledatei_aktualisierung28"></a>3.2.7 Zusätzliche allgemeine Einstellungen</h3> <p>In Abschnitt ermöglicht eine erweiterte online-applikationsspezifische Individualisierung des AuthBlocks und der Bürgerkartenauswahl. -Die Individualisierung des AuthBlocks steht jedoch dann zur Verfügung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation (siehe Kapitel TODO:) verwendet wird oder +Die Individualisierung des AuthBlocks steht jedoch dann zur Verfügung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation verwendet wird oder wenn die individuelle Security-Layer Transformation den Formvorschriften der Spezifikation entspricht.</p> <table width="1250" border="1"> <tr> @@ -1780,7 +1783,9 @@ Exportfunktion verwendet werden.</p> <h2><a name="import_template_" id="uebersicht_zentraledatei_Templates"></a>4 Templates</h2> <p>Dieser Abschnitt spezifiziert den Mindestaufbau der Templates für die BKU Auswahl, die Single Sign-On Anmeldeabfrage und die Security-Layer Request Templates welche vo Module MOA-ID-Auth verwendet werden. Alle hier beschriebenen Templates werden durch MOA-ID-Auth geladen, erweitert und gegebenfalls der Benutzerin oder dem Benutzer im Web-Browser dargestellt. Um einen korrekten Anmeldeprozess zu gewährleisten müssen diese Templates mindestens folgende Formvorschriften und Strukturen aufweisen.</p> <h3><a name="import_template_bku" id="uebersicht_zentraledatei_aktualisierung6"></a>4.1 Bürgerkartenauswahl</h3> -<p>Das BKU Template dient im Anmeldeprozess der Auswahl der gewünschten Bürgerkatenumgebung oder Handy-Signature. Nach erfolgter Auswahl durch die Benutzer oder dem Benutzer wird diese an MOA-ID-Auth übermittelt. Für die Übermittlung an MOA-ID-Auth ist ein http GET Request vorgesehen welcher folgende Parameter unterstützt. Die URL dieses http GET Request wird automatisiert über den Parameter „#AUTH_URL#“ (ohne „“) eingetragen und muss nicht manuell hinterlegt werden. Folgende http GET Parameter werden für die BKU-Auswahl akzeptiert.</p> +<p>Das BKU Template dient im Anmeldeprozess der Auswahl der gewünschten Bürgerkatenumgebung oder Handy-Signature. Nach erfolgter Auswahl durch die Benutzer oder dem Benutzer wird diese an MOA-ID-Auth übermittelt. </p> +<p><strong>Hinweis:</strong> In der Datei <em>./htmlTemplates/loginFormFull.html</em> welcher sich relativ zur <a href="#uebersicht_bekanntmachung">MOA-ID-Auth Konfigurationsdatei</a> befindet finden Sie das Standard Template welches für den Anmeldevorgang verwendet wird, wenn kein online-applikationsspezifisches Template hinterlegt wurde. Dieses Standard Template unterstützt Responsive Design und passen sich somit in einem weiten Bereich an die aktuelle Fenstergröße an.</p> +<p>Für die Übermittlung an MOA-ID-Auth ist ein http GET Request vorgesehen welcher folgende Parameter unterstützt. Die URL dieses http GET Request wird automatisiert über den Parameter „#AUTH_URL#“ (ohne „“) eingetragen und muss nicht manuell hinterlegt werden. Folgende http GET Parameter werden für die BKU-Auswahl akzeptiert.</p> <table width="1201" border="1"> <tr> <th width="167" scope="col">Name</th> @@ -1866,7 +1871,7 @@ Einige dieser Parameter werden jedoch nicht durch den Benutzer oder dem Service </tr> </table> <p><br> - Die nachfolgenden Beispiele zeigen ein Beispiel für den Aufbau des im BKU-Auswahl Template zu verwendeten http GET Request Templates für die lokale BKU.</p> + Die nachfolgenden Form zeigt ein Beispiel für den Aufbau des im BKU-Auswahl Template zu verwendeten http GET Request Templates für die lokale BKU.</p> <pre><form method="get" id="moaidform" action="#AUTH_URL#"><br> <input type="hidden" name="bkuURI" value="#LOCAL#"> <br> <input type="hidden" name="useMandate" id="useMandate"> <br> @@ -1875,9 +1880,11 @@ Einige dieser Parameter werden jedoch nicht durch den Benutzer oder dem Service <input type="submit" value=">lokale Bürgerkartenumgebung"><br> </form> </pre> -<p>Als Beispiel für ein BKU-Auswahl Template steht auch das bei MOA-ID-Auth hinterlegte Standardtemplate zur Verfügung. Dieses finden Sie <a href="../../htmlTemplates/BKU-selection.html">hier</a>.</p> +<p>Als Beispiel für ein BKU-Auswahl Template steht auch das bei MOA-ID-Auth hinterlegte Standardtemplate zur Verfügung. Dieses finden Sie <a href="../../htmlTemplates/BKU-selection.html">hier</a>. </p> <h3><a name="import_template_sso" id="uebersicht_zentraledatei_aktualisierung7"></a>4.2 Single Sign-On Anmeldeabfrage</h3> -<p>Das Send-Assertion Template dient im Falle einer Anmeldung mittels Single Sign-On der Abfrage ob die Anmeldedaten an die betreffende Online Applikation übertragen werden dürfen. Ähnlich dem Template für die Bürgerkartenauswahl müssen auch hierbei Formvorschriften und Strukturen im Aufbau des Templates eingehalten werden.<br> +<p>Das Send-Assertion Template dient im Falle einer Anmeldung mittels Single Sign-On der Abfrage ob die Anmeldedaten an die betreffende Online Applikation übertragen werden dürfen. </p> +<p><strong>Hinweis:</strong> In der Datei <em>./htmlTemplates/sendAssertionFormFull.html</em> welcher sich relativ zur <a href="#uebersicht_bekanntmachung">MOA-ID-Auth Konfigurationsdatei</a> befindet finden Sie das Standard Template welches für den Anmeldevorgang verwendet wird, wenn kein online-applikationsspezifisches Template hinterlegt wurde. Dieses Standard Template unterstützt Responsive Design und passen sich somit in einem weiten Bereich an die aktuelle Fenstergröße an.</p> +<p>Ähnlich dem Template für die Bürgerkartenauswahl müssen auch hierbei Formvorschriften und Strukturen im Aufbau des Templates eingehalten werden.<br> Für die Übermittlung an das Modul MOA-ID-Auth ist ein http POST Request vorgesehen welcher folgende Parameter unterstützt. Die URL, an welche dieser http POST Request gesendet werden muss, wird automatisiert über den Parameter „#URL#“ (ohne „“) eingetragen und muss nicht manuell hinterlegt werden.</p> <table width="1201" border="1"> <tr> @@ -1941,7 +1948,7 @@ Einige dieser Parameter werden jedoch nicht durch den Benutzer oder dem Service </tr> </table> <p><br> -Die nachfolgenden Beispiele zeigen ein Beispiel für den Aufbau des im BKU-Auswahl Template zu verwendeten http GET Request Templates für die lokale BKU.</p> +Die nachfolgenden Form zeigt ein Beispiel für den Aufbau des im BKU-Auswahl Template zu verwendeten http GET Request Templates für die lokale BKU.</p> <pre><form method="post" id="moaidform_yes" action="#URL#"><br> <input type="hidden" name="value" value="true"><br> <input type="hidden" name="mod" value="#MODUL#"><br> @@ -2013,6 +2020,21 @@ Die nachfolgenden Beispiele zeigen ein Beispiel für den Aufbau des im BKU- </tr> </table> <p> </p> +<p><strong>Hinweis: </strong>Das in MOA-ID 1.5.1 verwendete Security-Layer Template ist kompatibel zu dem in MOA-ID 2.0 verwendeten Security-Layer Template. Jedoch stehen bei dem Template aus MOA-ID 1.5.1 die zusätzlichen Parameter zur Konfiguration mittels Konfigurationstool nicht zur Verfügung.</p> +<h1><a name="sp-config" id="sp-config">5 Konfiguration von MOA-SP</a></h1> +<p>MOA-ID überprüft die Signaturen der Personenbindung und des AUTH-Blocks mit dem VerifyXMLSignatureRequest von MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. <br> + <br> + <strong verifytransformsinfoprofile"="">VerifyTransformsInfoProfile</strong><br> + Der Request zum überprüfen der Signatur des AUTH-Blocks verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die im Request verwendete Profil-ID wird in der MOA-ID-Auth Konfiguration im Parameter <a href="#konfigurationsparameter_allgemein_moasp">Authentfizierungsblock Transformationen</a> definiert. Entsprechend muss am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung von MOA-ID in $MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlockTable_DE_2.0.xml enthalten. Diese Profildefinition muss unverändert übernommen werden. </p> +<p id="trustProfile"> <strong>TrustProfile</strong><br> +Die Requests zur überprüfung der Signatur verwenden vordefinierte TrustProfile. Die im Request verwendete Profil-IDs werden in der MOA-ID-Auth Konfiguration in den Parametern <a href="#konfigurationsparameter_allgemein_moasp">Personenbindung Trustprofil</a> und <a href="#konfigurationsparameter_allgemein_moasp">Authentfizierungsblock Trustprofil</a> definiert. Diese beiden Elemente können unterschiedliche oder identische TrustProfileIDs enthalten. Am MOA-SP Server müssen TrustProfile mit gleichlautender ID definiert werden. Die Auslieferung von MOA-ID enthält das Verzeichnis $MOA_ID_INST_AUTH/conf/moa-spss/trustprofiles/MOAIDBuergerkarteRoot, das als TrustProfile verwendet werden kann. Weitere Zertifikate können als vertrauenswürdig hinzugefügt werden. </p> +<p id="certstore"> <strong>Certstore</strong><br> +Zum Aufbau eines Zertifikatspfades können benötigte Zertifikate aus einem Zertifikatsspeicher verwendet werden. Die Auslieferung von MOA-ID enthält das Verzeichnis $MOA_ID_INST_AUTH/conf/moa-spss/certstore, das als initialer Zertifikatsspeicher verwendet werden kann. </p> +<p>Hinweis: Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues Format für die XML-Konfigurationsdatei. Für die Konvertierung einer älteren Konfigurationsdatei auf das neue Format steht Ihnen ein Tool zur Verfügung. Details dazu finden sie in der der Distribution von MOA-SP/SS beiligenden Dokumentation im Kapitel 'Konfiguration', Abschnitt 1.2.1.</p> +<h1><a name="security" id="security">6 Tomcat Security Manager</a></h1> +<p>Apache Tomcat bietet die Möglichkeit den Server unter einem Security Manager zu betreiben. Damit ist es möglich den lokalen Dateizugriff zu beschränken. Mit Hilfe der Datei "catalina.policy" können so Zugriffe auf lokale Dateien und Verzeichnisse festgelegt werden. Eine beispielhafte catalina.policy Datei finden Sie im Verzeichnis $MOA_ID_INST_AUTH/tomcat. Diese Datei wurde unter Apache Tomcat 4.1.31, 5.0.28 und 5.5.27 getestet. </p> +<p>Mehr Informationen zum Security Manager entnehmen Sie bitte der entsprechenden Apache Tomcat Dokumentation. </p> +<p> </p> <h1><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h1> <table class="fixedWidth" border="1" cellpadding="2"> <tbody> |