diff options
Diffstat (limited to 'id/server/doc/handbook/interfederation')
-rw-r--r-- | id/server/doc/handbook/interfederation/interfederation.html | 136 |
1 files changed, 69 insertions, 67 deletions
diff --git a/id/server/doc/handbook/interfederation/interfederation.html b/id/server/doc/handbook/interfederation/interfederation.html index f52556e23..6bc3727b4 100644 --- a/id/server/doc/handbook/interfederation/interfederation.html +++ b/id/server/doc/handbook/interfederation/interfederation.html @@ -2,23 +2,23 @@ <html> <head> <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" > + <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"> <title>MOA-ID - Protokolle</title> <link rel="stylesheet" href="../common/MOA.css" type="text/css"> + <link href='https://fonts.googleapis.com/css?family=Roboto:300,400' rel='stylesheet' type='text/css'> </head> <body link="#990000"> - <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10"> - <tr> - <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td> - <td align="center" class="logoTitle">Dokumentation</td> - <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td> - </tr> - </table> - <hr/> - <p class="title"><a href="../index.html">MOA-ID (Identifikation) </a></p> -<p class="subtitle">Interfederation</p> - <hr/> -<h1>Inhalt</h1> - <ol> + <div id="headline"> + <div class="container"> + <a href="http://www.digitales.oesterreich.gv.at/"><img src="../common/logo_digAT.png"/></a> + <a href="../index.html"><h1>MOA-ID-AUTH </h1></a> + <br/> + </div> + </div> +<div class="container"> +<h1 align="center">Interfederation</h1> + <h2>Inhalt</h2> + <ol class="index"> <li><a href="#general">Allgemeines</a> <ol> <li><a href="#sequenzediagramm">Sequenzdiagramm</a></li> @@ -40,9 +40,9 @@ <li><a href="#storkpvpgateway">STORK <-> PVP Gateway</a></li> </ol> <p> </p> - <h1><a name="general" id="konfigurationsparameter_allgemein_bku7"></a>1 Allgemeines</h1> + <h2><a name="general" id="konfigurationsparameter_allgemein_bku7"></a>1 Allgemeines</h2> <p>Ab der Version 2.1.0 des Modulpakets MOA-ID unterstützt das Modul MOA-ID-Auth Single Sign-On Interfederation zwischen Instanzen des Modules MOA-ID-Auth, welche bei unterschiedlichen Service Providern betrieben werden. Die nachfolgende Abbildung zeigt das Blockdiagramm einer solchen Systemkonfiguration und beschreibt die Funktionalität auf einer abstrakten Ebene.</p> - <p><img src="blockdiagramm.png" width="1010" height="618" alt="Blockdiagramm MOA-ID Inderfederation"></p> + <div class="smallImgDiv"><img src="blockdiagramm.png" alt="Blockdiagramm MOA-ID Inderfederation"></div> <ol> <li>Eine Benutzerin oder ein Benutzer möchte sich an einer Online Applikation (Applikation 1) oder einem Service Portal anmelden.</li> <li>Für den Anmeldevorgang wird die Benutzerin oder der Benutzer an den IdentityProvider (MOA-ID IDP 1) welcher die Identifizierung und Authentifizierung durchführt und eine Single Sign-On (SSO) Session anlegt.</li> @@ -52,9 +52,9 @@ <li>IDP 2 holt von IDP 1 die Authentifizierungsinformationen für Applikation 2 ab. Für die Kommunikation zwischen den beiden IDPs wird PVP 2.1 als Protokoll verwendet. Sollte am IDP 1 keine aktive SSO Session für diesen Benutzer existieren wird eine lokale Authentifizierung der Benutzerin oder des Benutzer an IDP 2 gestartet.</li> <li>Anschließend wird die Benutzerin oder der Benutzer an Applikation 2 zurückgeleitet und befindet sich im angemeldeten Bereich der Applikation 2.</li> </ol> -<h2><a name="sequenzediagramm" id="konfigurationsparameter_allgemein_bku"></a>1.1 Sequenzdiagramm</h2> +<h3><a name="sequenzediagramm" id="konfigurationsparameter_allgemein_bku"></a>1.1 Sequenzdiagramm</h3> <p>Das nachfolgende Sequenzdiagramm beschreibt den Ablauf eines Anmeldevorgangs an einer Online Applikation mit Hilfe von Interfederation im Detail wobei in diesem Beispiel als Authentifizierungsprotokoll an der Online Applikation 2 PVP 2.1 und die <a href="#usage_redirect">Variante mit Redirect Servlet</a> verwendet werden. Eine Verwendung aller anderen, durch das Modul MOA-ID-Auth bereitgestellten Authentifizierungsprotokolle ist jedoch ebenfalls möglich. Aus Gründen der Übersichtlichkeit sind die Schritte 1 - 3 aus dem oben dargestellten Blockdiagramm im Sequenzdiagramm nicht berücksichtigt, da diese Schritte bereits im Kapitel <a href="./../protocol/protocol.html">Protokolle</a> im Detail beschrieben wurden. </p> -<p><img src="interfederation_sequenz.png" width="1082" height="994" alt="SSO Interfederation Sequenze"></p> + <div class="largeImgDiv"><img src="interfederation_sequenz.png" alt="SSO Interfederation Sequenze"></div> <p> </p> <ol> <li>Die Benutzerin oder der Benutzer ist bereits an einer Online Applikation (Application 1) angemeldet und möchte sich nun an einer zweiten Online Applikation (Application 2) mittels Single Sign On anmelden. Nach dem Click auf die entsprechende Login Schaltfläche wird der Anmeldevorgang gestartet.</li> @@ -84,21 +84,21 @@ <li>Online Applikation 2 validiert die Assertion</li> <li>Wurde die Validierung der Assertion positiv abgeschlossen wird der Benutzer im sicheren Bereich von Online Applikation zwei angemeldet.</li> </ol> -<h1> <a name="config" id="konfigurationsparameter_allgemein_bku2"></a>2 Konfiguration</h1> +<h2> <a name="config" id="konfigurationsparameter_allgemein_bku2"></a>2 Konfiguration</h2> <p>Die Konfiguration des Modules MOA-ID-Auth in einer IDP Interfederation ist in zwei Abschnitte unterteilt. Der erste Teil behandelt die Basiskonfiguration des Modules MOA-ID-Auth. Im zweiten Abschnitt erfolgt die Konfiguration der einzelnen IDP Instanzen welche von dieser MOA-ID-Auth verwendet werden können oder in einem IDP interfederation Verbund stehen.</p> <p>Bei IDP Interfederation handelt es sich um eine Erweiterung der Funktionalität des Modules MOA-ID-Auth. Die in diesem Abschnitt beschriebene Konfiguration bezieht sich speziell auf den Bereich Interfederation, ersetzt jedoch nicht die Konfiguration des Modules MOA-ID-Auth laut Kapitel <a href="./../config/config.html">Konfiguration</a>.</p> -<h2><a name="config_basic" id="konfigurationsparameter_allgemein_bku3"></a>2.1 Basiskonfiguration</h2> +<h3><a name="config_basic" id="konfigurationsparameter_allgemein_bku3"></a>2.1 Basiskonfiguration</h3> <p>Wird das Modul MOA-ID-Auth in einer IDP Interfederation betrieben muss das PVP 2.1 Protokoll, in der Basiskonfiguration von MOA-ID-Auth konfiguriert werden. Eine Beschreibung der entsprechenden Konfigurationsparameter finden Sie im Kapitel <a href="./../config/config.html#basisconfig_moa_id_auth_param_protocol_pvp21">Protokolle -> PVP 2.1</a>. </p> -<h2><a name="config_idps" id="konfigurationsparameter_allgemein_bku4"></a>2.2 Konfiguration einzelner IDPs </h2> +<h3><a name="config_idps" id="konfigurationsparameter_allgemein_bku4"></a>2.2 Konfiguration einzelner IDPs </h3> <p>Zusätzlich zu Basiskonfiguration müssen alle für diese IDP Interfederation registrierten IDPs konfiguriert werden. Diese Konfiguration erfolgt über das Modul MOA-ID-Configuration wobei für Interfederation ein eigener Menüpunkt im Hauptmenü zur Verfügung steht. Über diesen Konfigurationspunkt können neue IDPs hinzugefügt (MOA-ID IDP hinzufügen) oder bestehende IDPs bearbeitet werden wobei alle aktuell hinterlegten IDPs in einer Liste dargestellt werden.</p> <p>Die Konfiguration der einzelnen IDP Instanzen erfolgt ähnlich zur Konfiguration von Online-Applikationen (siehe <a href="./../config/config.html#konfigurationsparameter_oa">Online-Applikationskonfiguration</a>), jedoch sind für eine IDP Konfiguration nicht alle Konfigurationsparameter aus der Online-Applikationskonfiguration erforderlich.</p> <p>Im ersten Abschnitt werden allgemeine Informationen zum IDP konfiguriert.</p> -<table width="1199" border="1"> +<table class="configtable"> <tr> - <th width="153" scope="col">Name</th> - <th width="204" scope="col">Beispielwert</th> - <th width="57" scope="col">Optional</th> - <th width="757" scope="col">Beschreibung</th> + <th>Name</th> + <th>Beispielwert</th> + <th>Optional</th> + <th>Beschreibung</th> </tr> <tr> <td>Online-Applikation ist aktiviert</td> @@ -128,12 +128,12 @@ </table> <p> </p> <p>Der zweite Abschnitt behandelt spezielle Konfigurationsparameter für IDP Interfederation.</p> -<table width="1199" border="1"> +<table class="configtable"> <tr> - <th width="153" scope="col">Name</th> - <th width="204" scope="col">Beispielwert</th> - <th width="57" scope="col">Optional</th> - <th width="757" scope="col">Beschreibung</th> + <th>Name</th> + <th>Beispielwert</th> + <th>Optional</th> + <th>Beschreibung</th> </tr> <tr> <td><span id="wwlbl_loadIDP_moaIDP_inboundSSO">Eingehendes SSO erlauben</span></td> @@ -185,13 +185,13 @@ </ul> </li> </ul> -<h1><a name="usage" id="konfigurationsparameter_allgemein_bku6"></a>3 Integration in bestehende Systeme</h1> +<h2><a name="usage" id="konfigurationsparameter_allgemein_bku6"></a>3 Integration in bestehende Systeme</h2> <p>Um den Interfederation Mechanismus in ein bestehendes System zu integrieren muss dem protokollspezifischen Authentifizierungsrequest, welcher da das Modul MOA-ID-Auth gesendet wird, ein zusätzlicher Parameter angefügt werden. Dieser Parameter identifiziert den interfederation IDP von welchem eine aktive SSO Session verwendet werden soll. Dieser zusätzliche Parameter kann als http GET oder als http POST Parameter an MOA-ID-Auth übertragen werden. </p> -<table width="1247" border="1"> +<table class="configtable"> <tr> - <th width="115" scope="col">Name</th> - <th width="262" scope="col">Beispielwert</th> - <th width="848" scope="col">Beschreibung</th> + <th>Name</th> + <th>Beispielwert</th> + <th>Beschreibung</th> </tr> <tr> <td>interIDP</td> @@ -202,7 +202,7 @@ </table> <p> </p> <p>Wie bereits im <a href="#sequenzediagramm">Abschnitt Sequenzdiagramm</a> erwähnt stehen für die Übertragung des zusätzlichen Parameters zwei Varianten zur Verfügung.</p> -<h2><a name="usage_direct" id="konfigurationsparameter_allgemein_bku8"></a>3.1 Direkte Übermittlung im Authentifizierungsrequest</h2> +<h3><a name="usage_direct" id="konfigurationsparameter_allgemein_bku8"></a>3.1 Direkte Übermittlung im Authentifizierungsrequest</h3> <p>Bei dieser Variante wird der zusätzliche Parameter <em>interIDP</em> direkt im protokollspezifischen Authentifizierungsrequest, welcher den Authentifizierungsvorgang startet, angefügt. In diesem Fall muss der Service Provider, welcher den Authentifizierungsrequest erzeugt, den zusätzlichen Parameter <em>interIDP</em> einfügen. Diese Variante steht für alle verfügbaren Authentifizierungsvarianten des Modules MOA-ID-Auth zur Verfügung und es existieren keine besonderen Einschränkungen. Das nachfolgende Beispiel zeigt die Verwendung in Kombination mit SAML 1 wobei der <em>interIDP</em> Parameter als http GET Parameter übermittelt wird.</p> <pre><a href="https://<moa-id-server-und-pfad>/StartAuthentication ?Target=<geschäftsbereich> @@ -210,13 +210,13 @@ &bkuURI=<bku-url> &interIDP=<IDP EntityID> ></pre> -<h2><a name="usage_redirect" id="konfigurationsparameter_allgemein_bku9"></a>3.2 Verwendung des Redirect Servlets</h2> +<h3><a name="usage_redirect" id="konfigurationsparameter_allgemein_bku9"></a>3.2 Verwendung des Redirect Servlets</h3> <p>Bei dieser Variante wird der zusätzliche Parameter <em>interIDP</em> und eine Redirect-URL <em>redirecturl</em> an ein Service der MOA-ID-Auth Instanz übermittelt. Dieses Service validiert alle Parameter und hinterlegt den Parameter <em>interIDP</em> in einem http Cookie im Browser der Benutzerin oder des Benutzers. Anschließend erfolgt ein Redirect an die im Parameter redirecturl angegebene Service welches den eigentlichen Authentifizierungsrequest erzeugt und an die MOA-ID-Auth Instanz sendet. In diesem Fall ist es nicht erforderlich dass der Authentifizierungsrequest den zusätzlichen Parameter <em>interIDP</em> enthält, da dieser über das zuvor gesetzte http Cookie vom Modul MOA-ID-Auth ausgewertet wird. </p> -<table width="1247" border="1"> +<table class="configtable"> <tr> - <th width="115" scope="col">Name</th> - <th width="262" scope="col">Beispielwert</th> - <th width="848" scope="col">Beschreibung</th> + <th>Name</th> + <th>Beispielwert</th> + <th>Beschreibung</th> </tr> <tr> <td>interIDP</td> @@ -232,15 +232,15 @@ </tr> </table> <p> </p> -<h1><a name="vidp" id="konfigurationsparameter_allgemein_bku5"></a>4 STORK VIDP Konfiguration</h1> +<h2><a name="vidp" id="konfigurationsparameter_allgemein_bku5"></a>4 STORK VIDP Konfiguration</h2> <p>Das Modul MOA-ID-Auth kann auch als STORK2 VIDP betrieben werden. Diese VIDP Konfiguration erfolgt ebenfalls über den Menüpunkt Interfederation, wobei neues VIDPs mit Hilfe der Schaltfläche VIDP hinzufügen konfiguriert werden können. </p> <p>Die Konfiguration eines VIDPs erfolgt weitgehend identisch zur Konfiguration einer <a href="./../config/config.html#konfigurationsparameter_oa">Online-Applikation</a>, wobei im Falle eines VIDPs noch folgende zusätzliche Konfigurationsparameter zur Verfügung stehen.</p> -<table width="1250" border="1"> +<table class="configtable"> <tr> - <th width="185" scope="col">Name</th> - <th width="85" scope="col">Beispielwert</th> - <th width="66" scope="col">Optional</th> - <th width="886" scope="col">Beschreibung</th> + <th>Name</th> + <th>Beispielwert</th> + <th>Optional</th> + <th>Beschreibung</th> </tr> <tr> <td><p>VIDP Interface aktiv</p></td> @@ -260,10 +260,10 @@ Diese Attributprovider werden für die Abholung einiger Attribute von österreichischen Bürgern benötigt (Anmeldung in Ausland). Die Eintragung und Auswahl von Attributprovidern ist <span class="term">optional</span>. </p> <p>Während des Anmeldevorgangs wird der Benutzer an den entsprechenden Attributprovider weitergeleitet. Am Attributprovider werden die erforderlichen Attribute ausgewählt und zurück an VIDP (am Service Provider) geliefert. </p> <br/> -<table width="1250" border="1"> +<table class="configtable"> <tr> - <th width="167" scope="col">Name des Plugins</th> - <th width="781" scope="col">Beschreibung</th> + <th>Name des Plugins</th> + <th>Beschreibung</th> </tr> <tr> <td>EHvdAttributeProvider</td> @@ -293,11 +293,11 @@ </table> <p> </p> <p>Beispiel eines Eintrages für Attributprovider:</p> -<pre><table width="1220" border="1"> +<pre><table class="configtable"> <tr> - <th width="167" scope="col">AP Plugin</th> - <th width="681" scope="col">URL</th> - <th width="281" scope="col">Attribute</th> + <th>AP Plugin</th> + <th>URL</th> + <th>Attribute</th> </tr> <tr> <td>MISAttributeRequestProvider</td> @@ -306,10 +306,10 @@ </tr> </table></pre> <p> </p> -<h1><a name="storkpvpgateway" id="konfigurationsparameter_allgemein_bku10"></a>5 STORK <-> PVP Gateway</h1> +<h2><a name="storkpvpgateway" id="konfigurationsparameter_allgemein_bku10"></a>5 STORK <-> PVP Gateway</h2> <p>Das Modul MOA-ID-Auth kann auch als Gateway zwischen dem Portalverbund der österreichischen Behörden und der STORK Infrastruktur betrieben werden. Diese Konfiguration konfiguriert einen Gateway welcher zur Authentifizierung österreichischer Benutzerinnen oder Benutzer im Falle einer STORK Anmeldung mit Hilfe der österreichischen PVP Infrastruktur dient. Der Einsprung zum Gateway erfolgt über den <em>PVPAuthenticationProvider</em> in der <a href="#vidp">VIDP Konfiguration</a>.</p> <p>Die nachstehende Grafik skizziert den Prozessfluss eines solchen Anmeldevorgangs.</p> -<p><img src="blockdiagramm_storkpvpgateway.png" width="1000" height="734" alt="Blockdiagramm STORK-PVP Gateway"></p> +<div class="smallImgDiv"><img src="blockdiagramm_storkpvpgateway.png" alt="Blockdiagramm STORK-PVP Gateway"></div> <ol> <li>Eine österreichische Benutzerin oder ein österreichischer Benutzer möchte sich an einer europäischen Online Applikation (Applikation 1) anmelden.</li> <li>Die Benutzerin oder der Benutzer wird an den entsprechenden VIDP unter Verwendung des STORK Protokolls zur Authentifizierung weitergeleitet. Für den Fall das spezielle Attribute durch die Applikation angefordert wurden (z.B. <em>ECApplicationRole</em>) kann die Authentifizierung nicht am VIDP vorgenommen werden. In diesem Fall erfolgt eine Weiterleitung an den nationalen STORK-PVP Gateway (siehe <a href="#vidp">VIDP Konfiguration</a>).</li> @@ -322,12 +322,12 @@ </ol> <p> </p> <p>Die Konfiguration eines STORK-PVP Gateways besteht aus folgenden Elementen.</p> -<table width="1199" border="1"> +<table class="configtable"> <tr> - <th width="153" scope="col">Name</th> - <th width="204" scope="col">Beispielwert</th> - <th width="57" scope="col">Optional</th> - <th width="757" scope="col">Beschreibung</th> + <th>Name</th> + <th>Beispielwert</th> + <th>Optional</th> + <th>Beschreibung</th> </tr> <tr> <td>Online-Applikation ist aktiviert</td> @@ -357,12 +357,13 @@ </tr> </table> <p> </p> -<table width="1199" border="1"> +<table class="configtable"> +<table class="configtable"> <tr> - <th width="153" scope="col">Name</th> - <th width="204" scope="col">Beispielwert</th> - <th width="57" scope="col">Optional</th> - <th width="757" scope="col">Beschreibung</th> + <th>Name</th> + <th>Beispielwert</th> + <th>Optional</th> + <th>Beschreibung</th> </tr> <tr> <td><span id="wwlbl_loadIDP_pVPGateway_entityID">EntityID des PVP Portals:</span></td> @@ -374,7 +375,7 @@ </table> <p> </p> <p> </p> -<h1><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h1> +<h2><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h2> <table class="fixedWidth" border="1" cellpadding="2"> <tbody> <tr> @@ -411,5 +412,6 @@ </tr> </tbody> </table> + </div> </body> </html> |