+ <h2><a name="allgemeines_zugangspunkte" id="allgemeines_zugangspunkte"></a>1.1 &Uuml;bersicht der Zugangspunkte</h2>

+ <p>In diesem Abschnitt sind die Zugangspunkte der vom Modul MOA-ID-Auth unterst&uuml;tzten Protokolle kurz zusammengefasst. Eine detailierte Beschreibung der einzelnen Protokolle finden Sie in den anschlie&szlig;enden Unterkapiteln. </p>

+ <table width="1247" border="1">

+ <tr>

+ <th width="164" scope="col">Protokoll</th>

+ <th width="168" scope="col">Requesttyp</th>

+ <th width="893" scope="col">URL</th>

+ </tr>

+ <tr>

+ <td><a href="#pvp21">PVP 2.1</a></td>

+ <td>Metadaten</td>

+ <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/metadata</td>

+ </tr>

+ <tr>

+ <td><p><a href="#pvp21">PVP 2.1</a></p></td>

+ <td>Authentifizierungsrequest <br>

+ POST Binding</td>

+ <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/post</td>

+ </tr>

+ <tr>

+ <td><p><a href="#pvp21">PVP 2.1</a></p></td>

+ <td>Authentifizierungsrequest <br>

+Redirect Binding</td>

+ <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/redirect</td>

+ </tr>

+ <tr>

+ <td><a href="#openid">OpenID Connect</a></td>

+ <td>Authentifizierungsrequest <br>

+ (AuthCode-Request)</td>

+ <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth2/auth</td>

+ </tr>

+ <tr>

+ <td><a href="#openid">OpenID Connect</a></td>

+ <td><p>AccessToken-Request</p></td>

+ <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth2/token</td>

+ </tr>

+ <tr>

+ <td><a href="#saml1">SAML 1</a></td>

+ <td>Authentifizierungsrequest</td>

+ <td><p>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/StartAuthentication</p></td>

+ </tr>

+ <tr>

+ <td><a href="#saml1">SAML 1</a></td>

+ <td><p>GetAuthenticationData</p></td>

+ <td><p>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/services/GetAuthenticationData</p>

+ <p>http://&lt;host&gt;:&lt;port&gt;/moa-id-auth/services/GetAuthenticationData</p></td>

+ </tr>

+ </table>

+ <h2><a name="allgemeines_attribute" id="allgemeines_zugangspunkte2"></a>1.2 &Uuml;bersicht der m&ouml;glichen Attribute</h2>

+ <p>Die nachfolgende Tabelle beinhaltet eine Liste aller Attribute die vom Modul MOA-ID-Auth an die Online-Applikation zur&uuml;ckgeliefert werden k&ouml;nnen, sofern diese nach der Authentifizierung zur Verf&uuml;gung stehen. Alle Namen beziehen sich auf den Attributnamen im jeweiligen Protokoll. Detailinformationen zu den einzelnen Attributen finden Sie in der <a href="#referenzierte_spezifikation">PVP 2.1 Spezifikation</a> der der <a href="#referenzierte_spezifikation">STORK Spezifikation</a>.</p>

+ <table width="1247" border="1">

+ <tr>

+ <th colspan="4" align="center" valign="middle" scope="col">Protokolle</th>

+ <th width="518" rowspan="3" scope="col">Beschreibung</th>

+ </tr>

+ <tr>

+ <th width="254" rowspan="2" scope="col">PVP 2.1</th>

+ <th colspan="2" scope="col">OpenID Connect</th>

+ <th width="219" rowspan="2" scope="col">SAML 1</th>

+ </tr>

+ <tr>

+ <th width="169" scope="col">Name</th>

+ <th width="53" scope="col">Profil</th>

+ </tr>

+ <tr>

+ <td>urn:oid:1.2.40.0.10.2.1.1.149</td>

+ <td>BPK</td>

+ <td align="center">eID</td>

+ <td>&nbsp;</td>

+ <td><p>Bereichsspezifisches Personenkennzeichen (bPK / wbPK)</p>

+ <p><strong>Hinweis:</strong> Der Syntax f&uuml;r dieses Attribut ist <em>bPK-value := (BEREICH &quot;:&quot; bPK)</em> wobei unter <em>Bereich</em> der &ouml;ffentliche Bereich (Target) der Online-Applikation oder die Stammzahl des Auftraggebers bei Anwendungs-verantwortlichen aus der Privatwirtschaft angegeben wird.</p></td>

+ </tr>

+ <tr>

+ <td><p>urn:oid:2.5.4.42</p></td>

+ <td>given_name</td>

+ <td align="center">profile</td>

+ <td>&nbsp;</td>

+ <td>Vorname</td>

+ </tr>

+ <tr>

+ <td><p>urn:oid:1.2.40.0.10.2.1.1.261.20</p></td>

+ <td>family_name</td>

+ <td align="center">profile</td>

+ <td>&nbsp;</td>

+ <td>Familienname</td>

+ </tr>

+ <tr>

+ <td>urn:oid:1.2.40.0.10.2.1.1.55</td>

+ <td>birthdate</td>

+ <td align="center">profile</td>

+ <td>&nbsp;</td>

+ <td>Geburtsdatum im Format JJJJ-MM-TT</td>

+ </tr>

+ <tr>

+ <td>urn:oid:1.2.40.0.10.2.1.1.261.64</td>

+ <td>EID-CCS-URL</td>

+ <td align="center">eID</td>

+ <td>&nbsp;</td>

+ <td>URL auf die B&uuml;rgerkartenumgebung die f&uuml;r die Authentifizierung verwendet wurde. Im Falle einer Anmeldung mittels STORK steht dieses Attribut NICHT zur Verf&uuml;gung.</td>

+ </tr>

+ <tr>

+ <td>urn:oid:1.2.40.0.10.2.1.1.261.94</td>

+ <td>EID-CITIZEN-QAA-LEVEL</td>

+ <td align="center">eID</td>

+ <td>&nbsp;</td>

+ <td>Authentifizierungslevel des B&uuml;rgers</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.32</td>

+ <td>EID-ISSUING-NATION</td>

+ <td align="center">eID</td>

+ <td>&nbsp;</td>

+ <td>Landescode gem. ISO-3166 ALPHA-2</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.34</td>

+ <td>EID-SECTOR-FOR-IDENTIFIER</td>

+ <td align="center">eID</td>

+ <td>&nbsp;</td>

+ <td>Bereich f&uuml;r den die bPK / wbPK berechnet wurde.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.62</td>

+ <td>EID-AUTH-BLOCK</td>

+ <td align="center">eID</td>

+ <td>&nbsp;</td>

+ <td>Base64 kodierte Signatur die w&auml;hrend des Authentifizierungsdaten vom Benutzer erzeugt wurde.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.66</td>

+ <td>EID-SIGNER-CERTIFICATE</td>

+ <td align="center">eID</td>

+ <td>&nbsp;</td>

+ <td>Base64 kodiertes Zertifikat, dass f&uuml;r die Anmeldung verwendet wurde.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.36</td>

+ <td>EID-SOURCE-PIN</td>

+ <td align="center">eID_gov</td>

+ <td>&nbsp;</td>

+ <td><p>Stammzahl der nat&uuml;rlichen Person</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur zur Verf&uuml;gung wenn die Online-Applikation alle <a href="../config/config.html#konfigurationsparameter_oa_general_public">Anforderungen an eine Applikation aus dem &ouml;ffentlichen Bereich</a> erf&uuml;llt.</p></td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid: 1.2.40.0.10.2.1.1.261.104</td>

+ <td>EID-SOURCE-PIN-TYPE</td>

+ <td align="center">eID_gov</td>

+ <td>&nbsp;</td>

+ <td><p>Bereich der Stammzahl, wobei aktuell nur ein Bereich existiert.</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur zur Verf&uuml;gung wenn die Online-Applikation alle <a href="../config/config.html#konfigurationsparameter_oa_general_public">Anforderungen an eine Applikation aus dem &ouml;ffentlichen Bereich</a> erf&uuml;llt.</p></td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.38</td>

+ <td>EID-IDENTITY-LINK</td>

+ <td align="center">eID_gov</td>

+ <td>&nbsp;</td>

+ <td><p>Gesamte Personenbindung in BASE64 kodiert.</p>

+ <p><strong>Hinweis:</strong> Im Falle einer privatwirtschaftlichen Applikation ist die Stammzahl durch die wbPK ersetzt.</p></td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.68</td>

+ <td>MANDATE-TYPE</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Bezeichnung des verwendeten Vollmachten-Profils.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.102</td>

+ <td>MANDATOR-NATURAL-PERSON-SOURCE-PIN-TYPE</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Bereich der Stammzahl der vertretenen nat&uuml;rlichen Person, wobei aktuell nur ein Bereich existiert.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.70</td>

+ <td>MANDATOR-NATURAL-PERSON-SOURCE-PIN</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Stammzahl der nat&uuml;rlichen Person, f&uuml;r die Vollmachts- bzw. Vertretungsbe-fugnisse ausge&uuml;bt werden.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.76</td>

+ <td>MANDATOR-LEGAL-PERSON-SOURCE-PIN-TYPE</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Gibt an, um welche Art der Stammzahl einer vertretenen juristischen Person es sich handelt.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.100</td>

+ <td>MANDATOR-LEGAL-PERSON-SOURCE-PIN</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Stammzahl der juristischen Person, f&uuml;r die Vollmachts- bzw. Vertretungsbe-fugnisse ausge&uuml;bt werden.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.98</td>

+ <td>MANDATOR-NATURAL-PERSON-BPK</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Bereichsspezifisches Personenkennzeichen des Vollmachtgebers</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.78</td>

+ <td>MANDATOR-NATURAL-PERSON-GIVEN-NAME</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Vorname(n) der nat&uuml;rlichen Person, die die Vollmacht erteilt hat, bzw. die vertreten wird.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.80</td>

+ <td>MANDATOR-NATURAL-PERSON-FAMILY-NAME</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Nachname der Person, die die Vollmacht erteilt hat, bzw. die vertreten wird.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.82</td>

+ <td>MANDATOR-NATURAL-PERSON-BIRTHDATE</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Geburtsdatum der Person, die die Vollmacht erteilt hat, bzw. die vertreten wird im Format JJJJ-MM-TT</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.84</td>

+ <td>MANDATOR-LEGAL-PERSON-FULL-NAME</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Name der juristischen Person bzw. Personenmehrheit gem&auml;&szlig; zugrundelie-gendem Register.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.86</td>

+ <td>MANDATE-PROF-REP-OID</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Object Identifiern (OID) zur Kennzeichnung von berufsm&auml;&szlig;igen ParteienvertreterInnen bzw. OrganwalterInnen.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.88</td>

+ <td>MANDATE-PROF-REP-DESCRIPTION</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Textuelle Beschreibung der Eigenschaft als berufsm&auml;&szlig;iger ParteienvertreterIn.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.90</td>

+ <td>MANDATE-REFERENCE-VALUE</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Die im Rahmen einer elektronischen Vollmachtserstellung generierte Transaktionsnummer.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.92</td>

+ <td>MANDATE-FULL-MANDATE</td>

+ <td align="center">mandate</td>

+ <td>&nbsp;</td>

+ <td>Base64 kodierte Vollmacht im XML Format gem&auml;&szlig; Vollmachten-Spezifikation.</td>

+ </tr>

+ <tr>

+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.96</td>

+ <td>EID-STORK-TOKEN</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td>Beinhaltet die komplette Response Message eines STORK Providers im Base64-Format.</td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ inheritedFamilyName</td>

+ <td>inheritedFamilyName</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Vererbter Familienname</p>

+ <strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ adoptedFamilyName</td>

+ <td>adoptedFamilyName</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Angenommener Familienname</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ gender</td>

+ <td>gender</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Geschlecht</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ countryCodeOfBirth</td>

+ <td>countryCodeOfBirth</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Geburtsland</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ nationalityCode</td>

+ <td>nationalityCode</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Nationalit&auml;t</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ maritalStatus</td>

+ <td>maritalStatus</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Familienstand</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ textResidenceAddress</td>

+ <td>textResidenceAddress</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Wohnadresse in Textform</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ canonicalResidenceAddress</td>

+ <td>canonicalResidenceAddress</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Anerkannte Wohnadresse</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ title</td>

+ <td>title</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Titel</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ residencePermit</td>

+ <td>residencePermit</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Aufenthaltsbewilligung</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ pseudonym</td>

+ <td>pseudonym</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Pseudonym</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ age</td>

+ <td>age</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Alter</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ isAgeOver</td>

+ <td>isAgeOver</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Mindestalter erreicht</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ <tr>

+ <td height="23">http://www.stork.gov.eu/1.0/<br>

+ fiscalNumber</td>

+ <td>fiscalNumber</td>

+ <td align="center">stork</td>

+ <td>&nbsp;</td>

+ <td><p>Steuernummer</p>

+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>

+ </tr>

+ </table>

+ <p>&nbsp;</p>

+<p>Die PVP 2.1 Implementierung des Modules MOA-ID-Auth bezieht sich auf das <a href="#referenzierte_spezifikation">S-Profil der PVP 2 Spezifikation</a>. Das S - Profil von PVP 2 verwendet SAML WebSSO f&uuml;r die Authentifizierung von Benutzern mit Webbrowser. Dadurch wird die direkte Kommunikation des Browsers mit der Anwendung erm&ouml;glicht, was in Anwendungsf&auml;llen notwendig ist, wo Anwendungen nicht kompatibel mit dem Reverse - Proxy - Verfahren sind, datenschutzrechtliche Probleme bestehen oder SAML WebSSO als Industriestandard unterst&uuml;tzt werden soll.</p>

+<p>Bevor PVP 2.1 als Authentifizierungsprotokoll verwendet werden kann muss das Modul MOA-ID-Auth entsprechend konfiguriert werden. Detailinformationen zur Konfiguration finden Sie <a href="../config/config.html">hier</a>.</p>

+<h2><a name="pvp21_sequenz" id="pvp21_sequenz"></a>2.1 Ablauf einer Anmeldung mittels PVP 2.1</h2>

+<p>Die nachfolgende Abbildung zeigt das Sequenzdiagramm eines Anmeldevorgangs mittels PVP 2.1 und des Modules MOA-ID-Auth als Identityprovider. Aus Gr&uuml;nden der &Uuml;bersichtlichkeit wurden die Teile welche die Kommunikation mit der B&uuml;rgerkartenumgebung oder die Vollmachten-Auswahl betreffen bewusst nicht ber&uuml;cksichtigt.</p>

+<p>&nbsp;</p>

+<h2><a name="pvp21_metadata" id="pvp21_metadata"></a>2.2 Metadaten</h2>

+<p>Das Modul MOA-ID-Auth stellt f&uuml;r Service-Provider (Online-Applikationen) Metadaten bereit welche alle PVP 2.1 spezifischen Informationen der MOA-ID-Auth Instanz beinhalten. Diese Metadaten werden durch das Modul MOA-ID-Auth signiert, wodurch Service Provider die Authentizit&auml;t der Metadaten verifizieren k&ouml;nnen. Ein Beispiel f&uuml;r Metadaten von MOA-ID-Auth finden sie <a href="#idp_metadata.xml">hier</a>. Die aktuellen Metadaten zu Ihrer MOA-ID-Auth Instanz k&ouml;nnen unter folgender URL abgerufen werden.</p>

+<pre>http://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/metadata

+</pre>

+<p>bzw. </p>

+<pre>

+https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/metadata

+</pre>

+<p>Wollen Sie f&uuml;r Ihre Online-Applikation PVP 2.1 als Authentifizierungsprotokoll nutzen m&uuml;ssen f&uuml;r jede Online-Applikation Metadaten erstellt und durch den Service Provider signiert werden. Zus&auml;tzlich muss die URL auf die Metadaten und das entsprechende Signaturzertifikat zur Pr&uuml;fung der Signatur in der online-applikationsspezifischen <a href="../config/config.html#konfigurationsparameter_oa_protocol_pvp21">PVP 2.1 Konfiguration</a> von MOA-ID-Auth hinterlegt sein. Ein Beispiel f&uuml;r online-applikationsspezifische Metadaten finden Sie <a href="serviceprovider_metadata.xml">hier</a>.</p>

+<p>Die nachfolgenden Anforderungen an die online-applikationsspezifischen Metadaten .</p>

+<ul>

+ <li>Das XML Attribut <code>entityID</code> im Element <code>md:EntitiesDescriptor/md:EntityDescriptor</code> (siehe <a href="#serviceprovider_metadata.xml">Beispiel</a>) den <a href="../config/config.html#konfigurationsparameter_oa_general">eindeutigen Identifier</a> enth&auml;lt der f&uuml;r diese Online-Applikation bei MOA-ID-Auth hinterlegt ist. </li>

+ <li>Die Metadaten m&uuml;ssen ein Zertifikat zur Pr&uuml;fung der Signatur am Authentifizierungsrequest beinhalten. Hierf&uuml;r muss das XML Element <code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:KeyDescriptor</code> mit dem Attribut <code>use=&quot;signing&quot;</code> vorhanden sein (siehe <a href="#serviceprovider_metadata.xml">Beispiel</a>).</li>

+ <li>Die Metadaten m&uuml;ssen mindestens ein XML Element<br>

+<code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:AssertionConsumerService</code> enthalten welches das gew&uuml;nschte Binding und die URL zur Auslieferung der Assertion beinhaltet. </li>

+ <li>Werden zus&auml;tzlich zum bereichsspezifischen Personenkennzeichen (bPK / wbPK) weitere <a href="#allgemeines_attribute">Attribute</a> durch den Service Provider ben&ouml;tigt m&uuml;ssen diese &uuml;ber die Metadaten angefordert werden. <br>

+ Hierf&uuml;r steht das Element <code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:AttributeConsumingService</code> zur Verf&uuml;gung wobie die als Kindelemente <code>md:RequestedAttribute </code>die einzelnen ben&ouml;tigten Attribute definieren (siehe <a href="#serviceprovider_metadata.xml">Beispiel</a>).</li>

+</ul>

+<p>Zus&auml;tzlich unterst&uuml;tzt das Modul MOA-ID-Auth auch die Verschl&uuml;sselung PVP 2.1 Assertion mit einem vom Service-Provider definierten Zertifikat. Um diese Funktion zu nutzen muss in den Metadaten ein zweites XML Element <code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:KeyDescriptor</code> mit dem Attribut <code>use=&quot;encryption&quot;</code> vorhanden sein (siehe <a href="#serviceprovider_metadata.xml">Beispiel</a>). In diesem Fall verwendet das Modul MOA-ID-Auth, dass in diesem Element hinterlegte Zertifikat zur Verschl&uuml;sselung der PVP 2.1 Assertion.</p>

+<p><strong>Hinweis:</strong> Fehlt im XML Element <code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:KeyDescriptor</code> das Attribut <code>use</code> wird das in diesem Element hinterlegte Zertifikat sowohl zur Pr&uuml;fung der Signatur des Authentifizierungsrequest als auch zur Verschl&uuml;sselung der PVP 2.1 Assertion verwendet.</p>

+<h2><a name="pvp21_binding" id="pvp21_binding"></a>2.3 Zugangspunkte</h2>

+<p>F&uuml;r die Kommunikation zwischen Service Provider und dem Modul MOA-ID-Auth stellt MOA-ID-Auth aktuell zwei PVP 2.1 spezifische Zugangspunkte zur Verf&uuml;gung. Detailinformationen zu den beiden Zugangspunkten (Bindings) entnehmen finden Sie in der <a href="#referenzierte_spezifikation">SAML2 Spezifikation</a>. </p>

+<ul>

+ <li><strong>POST Binding</strong>: In diesem Fall erfolgt die &Uuml;bertragung mittels http POST. Hierf&uuml;r stellt MOA-ID-Auth den folgenden Zugangspunkt zur Verf&uuml;gung.</li>

+</ul>

+<pre>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/post</pre>

+<ul>

+ <li><strong>Redirect Binding</strong>: In diesem Fall erfolgt die &Uuml;bertragung mittels eines Redirects wobei die Daten als GET Parameter in der URL enthalten sind. Hierf&uuml;r stellt MOA-ID-Auth den folgenden Zugangspunkt zur Verf&uuml;gung.</li>

+</ul>

+<pre>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/redirect</pre>

+<p><strong>Hinweis:</strong> Die Zugangspunkte k&ouml;nnen auch direkt aus den von MOA-ID-Auth generierten Metadaten entnommen werden.</p>

+<h3><a name="pvp21_binding_request" id="pvp21_binding2"></a>2.3.1 Authentifizierungsrequest</h3>

+<p>Der Authentifizierungsrequest wird vom Service Provider erstellt und an das Modul MOA-ID-Auth &uuml;bermittelt. Zur &Uuml;bertragung, muss je nach verwendetem Binding, einer der beiden <a href="#pvp21_binding">Zugangspunkte</a> und die entsprechende Kodierung der Parameter verwendet werden.</p>

+<p>Folgende Minimalanforderungen an den Authentifizierungsrequest m&uuml;ssen erf&uuml;llt sein.</p>

+<ul>

+ <li>Der Request muss durch den Service Provider signiert sein (sie <a href="AuthRequest.xml">Beispiel</a>). Die Signatur wird durch das Modul MOA-ID-Auth mit Hilfe des in den <a href="#pvp21_metadata">Metadaten hinterlegten Zertifikats</a> validiert. Schl&auml;gt die Signaturpr&uuml;fung fehl oder ist keine Signatur vorhanden wird der Request abgewiesen und MOA-ID-Auth antwortet mit http Code <em>400</em> und der Fehlermeldung <em>NO valid protocol request received!</em>.</li>

+ <li>Das der Wert des XML Element <code>saml2p:AuthnRequest/saml2:Issuer</code> muss den <a href="../config/config.html#konfigurationsparameter_oa_general">eindeutigen Identifier</a> enthalten der f&uuml;r diese Online-Applikation bei MOA-ID-Auth hinterlegt ist (sie <a href="AuthRequest.xml">Beispiel</a>).</li>

+</ul>

+<p>Einen Beispielrequest finden Sie <a href="AuthRequest.xml">hier</a>.</p>

+<p><strong>Hinweis:</strong> Detailinformationen finden Sie im Abschnitt <a href="#referenzierte_spezifikation">Spezifikationen</a> in der PVP 2.1 Spezifikation und der SAML2 Spezifikation.</p>

+<h3><a name="pvp21_binding_response" id="pvp21_binding3"></a>2.3.2 Authentifizierungsresponse</h3>

+<p>Nach erfolgreicher Authentifizierung antwortet das Modul MOA-ID-Auth mit einer PVP 2.1 Assertion. Zur &Uuml;bertragung der Assertion erfolgt an das in den Metadaten der Online-Applikation angegebene <em>AssertionConsumerService</em> (siehe <a href="#pvp21_metadata">Metadaten</a>). </p>

+<p><img src="openIDconnect_sequenz.png" width="1138" height="705" alt="Sequenzdiagramm OpenID Connect"></p>

+<ol>

+ <li>Der Benutzer verbindet sich zu einem Web-Portal (Service Provider) &uuml;ber das die Online-Applikation erreichtbar ist. Nach der Bet&auml;tigung eines Login-Buttons wird der Anmeldevorgang ausgel&ouml;st.</li>

+ <li>Der Service Provider generiert den <a href="#openid_req_authnreq">AuchCode Request</a> und sendet diesen &uuml;ber den Browser an das Modul MOA-ID-Auth.</li>

+ <li>MOA-ID-Auth validiert den AuthCode Request.</li>

+ <li>MOA-ID-Auth leitet die BenutzerIn oder den Benutzer zur B&uuml;rgerkartenauswahl

+ <ol>

+ <li>Die BenutzerIn oder der Benutzer Authentifiziert sich mit der gew&auml;hlten Methode.</li>

+ </ol>

+ </li>

+ <li>Nach erfolgreicher Authentifizierung erzeugt MOA-ID-Auth die <a href="#openid_req_authnresp">AuthCode Response</a>.

+<ol>

+ <li>Die AuthCode Response wird mittels Redirect an den Service Provider retourniert.</li>

+ </ol>

+ </li>

+ <li>Der Service Provider validiert die AuthCode Response.</li>

+ <li>Der Service Provider generiert den <a href="#openid_req_tokenreq">AccessToken Request</a> und sendet diesen an MOA-ID-Auth zum Abholen der Benutzerdaten.</li>

+ <li>MOA-ID-Auth validiert den AccessToken Request</li>

+ <li>MOA-ID-Auth generiert die <a href="#openid_req_tokenresp">AccessToken Response</a>

+<ol>

+ <li>Retournierung der AccessToken Response an den Service Provider</li>

+ </ol>

+ </li>

+ <li>Validieren der AccessToken Response

+ <ol>

+ <li>Wird die Validierung g&uuml;ltig abgeschlossen kann die BenutzerIn oder der Benutzer am Service Provider angemeldet werden.</li>

+ </ol>

+ </li>

+</ol>

+<li><b>AuthCode-Request:</b> <em>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth2/auth</em><br> Unter dieser URL wird der Authn Request entgegengenommen. Dieser Request startet den Authentifizierungsvorgang an der Online-Applikation. Hier finden Sie Detailinformationen zum <a href="#openid_req_authnreq"> Request </a>und zur <a href="#openid_req_authnresp">Response</a>.</li>

+<li><b>AccessToken-Request:</b> <em>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth2/token</em><br> Unter dieser URL k�nnen nach erfolgreicher Authentifizierung die eigentlichen Authentifizierungsdaten am Modul MOA-ID-Auth abgeholt werden. Hier finden Sie Detailinformationen zum <a href="#openid_req_tokenreq"> Request </a>und zur <a href="#openid_req_tokenresp">Response</a>.</li>

+Folgende Parameter m�ssen mit dem AuthCode-Request mitgesendet werden, wobei f�r die �bertragung der Parameter sowohl http GET als auch http POST verwendet werden kann.</p>

+<table width="1247" border="1">

+ <tr>

+ <th width="115" scope="col">Name</th>

+ <th width="262" scope="col">Beispielwert</th>

+ <th width="848" scope="col">Beschreibung</th>

+ </tr>

+ <tr>

+ <td>client_id</td>

+ <td>https://demo.egiz.gv.at/demoportal-openID_demo</td>

+ <td>Ist der eindeutige Identifikatior f&uuml;r die Online-Applikation. Dieser MUSS mit dem<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Identifikatior aus der Konfiguration</a> identisch sein.</td>

+ </tr>

+ <tr>

+ <td>response_type</td>

+ <td>code</td>

+ <td><p>R&uuml;ckgabewert des AuthCode Requests.</p>

+ <strong>Hinweis:</strong> Dieser Wert MUSS &quot;code&quot; sein.</td>

+ </tr>

+ <tr>

+ <td>redirect_uri</td>

+ <td>https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action</td>

+ <td>Die Callback-URI der Online-Applikation zu welcher die Callbacks der OAuth 2.0 Request gesendet werden. Dieser MUSS mit der<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Redirct URL aus der Konfiguration</a> identisch sein.</td>

+ </tr>

+ <tr>

+ <td>state</td>

+ <td>1425782214234</td>

+ <td>Ein von der Online-Applikation generierter Wert welcher in beiden Requests (<a href="#openid_req_authnreq">AuthCode</a> und <a href="#openid_req_tokenreq">Token</a>) gleich sein muss (ein CSRF Token) </td>

+ </tr>

+ <tr>

+ <td>scope</td>

+ <td>openID profile eID</td>

+ <td><p>Definiert welche Authentifizierungsinformationen an die Online-Applikation zur&uuml;ckgeliefert werden. </p>

+ <p>M&ouml;gliche Werte sind: <em>openId, profile, eID, eID_gov, mandate, stork</em> wobei die Werte mittels Leerzeichen kombiniert werden k&ouml;nnen. Der Wert <em>openID</em> muss immer angegeben werden. Der Inhalt der einzelnen Profile, mit Ausnahme des Profiles <em>openID</em>, kann aus der <a href="#allgemeines_attribute">&Uuml;bersicht der m&ouml;glichen Attribute</a> entnommen werden. </p>

+ <ul>

+ <li>openID:

+ <ul>

+ <li>bpk --&gt; Bereichsspezifisches Kennzeichen (bPK / wbPK)</li>

+ <li>iss --&gt; Public URP Prefix der MOA-ID Instanz</li>

+ <li>exp --&gt; Zeitliche G&uuml;ltigkeit</li>

+ <li>iat --&gt; Ausstellungszeitpunkt</li>

+ <li>auth_time --&gt; Authentifizierungszeitpunkt</li>

+ </ul>

+ </li>

+ </ul></td>

+ </tr>

+</table>

+<p>&nbsp;</p>

+<p>Nachfolgend ein Beispiel f&uuml;r einen OpenID Connect Authentifizierungsrequest an das Modul MOA-ID-Auth.</p>

+<pre>&lt;form method=&quot;get&quot; action=&quot;https://demo.egiz.gv.at/demoportal_moaid-2.0/oauth2/auth&quot;&gt;

+ &lt;input type=&quot;hidden&quot; value=&quot;code&quot; name=&quot;response_type&quot;&gt;

+ &lt;input type=&quot;hidden&quot; value=&quot;https://demo.egiz.gv.at/demoportal-openID_demo&quot; name=&quot;client_id&quot;&gt;

+ &lt;input type=&quot;hidden&quot; value=&quot;https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action&quot; name=&quot;redirect_uri&quot;&gt;

+ &lt;input type=&quot;hidden&quot; value=&quot;profile eID eID_gov mandate&quot; name=&quot;scope&quot;&gt;

+ &lt;input type=&quot;hidden&quot; value=&quot;1152547590&quot; name=&quot;state&quot;&gt;

+ &lt;input type=&quot;submit&quot; value=&quot;OpenID Connect login&quot;&gt;

+&lt;/form&gt;</pre>

+<p>Das Ergebnis des AuthCode Requests wird an die <em>redirect_uri</em> der Online-Applikation gesendet. Die nachfolgenden Parameter werden dabei &uuml;bergeben.</p>

+<table width="1247" border="1">

+ <tr>

+ <th width="115" scope="col">Name</th>

+ <th width="262" scope="col">Beispielwert</th>

+ <th width="848" scope="col">Beschreibung</th>

+ </tr>

+ <tr>

+ <td>state</td>

+ <td>1425782214234</td>

+ <td>Der von der Online-Applikation generierte und im AuthCode Request &uuml;bergebene CSRF Token.</td>

+ </tr>

+ <tr>

+ <td>code</td>

+ <td>4/P7q7W91a-oMsCeLvIaQm6bTrgtp7 </td>

+ <td><p>Ein vom Modul MOA-ID-Auth generierter Wert, welcher beim Abholen des AccessTokens (AccessToken Request) wieder an MOA-ID-Auth &uuml;bergeben werden muss.</p></td>

+ </tr>

+</table>

+<p>&nbsp;</p>

+<p>Nochfolgend ein Beispiel f&uuml;r eine AuthCode Response.</p>

+<pre>https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action?state=1425782214234&amp;code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7 </pre>

+<p>Mit dem AccessToken Request k&ouml;nnen vom Service Provider der Online-Applikation die Anmeldedaten an der MOA-ID-Auth Instanz abgeholt werden. F&uuml;r die Abholung m&uuml;ssen folgende Parameter mit dem AccessToken Request an MOA-ID-Auth &uuml;bertragen werden, wobei f&uuml;r die &Uuml;bertragung der Parameter sowohl http GET als auch http POST verwendet werden kann.</p>

+<table width="1247" border="1">

+ <tr>

+ <th width="115" scope="col">Name</th>

+ <th width="262" scope="col">Beispielwert</th>

+ <th width="848" scope="col">Beschreibung</th>

+ </tr>

+ <tr>

+ <td>grant_type</td>

+ <td>authorization_code</td>

+ <td>Dieser MUSS den Wert &bdquo;authorization_code&ldquo; besitzen.</td>

+ </tr>

+ <tr>

+ <td>code</td>

+ <td>4/P7q7W91a-oMsCeLvIaQm6bTrgtp7</td>

+ <td><p>Dieser Parameter wird in der <a href="#openid_req_authnresp">AuthCode Response</a> an die Online-Applikation (Service Provider) &uuml;bertragen und muss in diesem Request wieder &uuml;bermittelt werden.</p></td>

+ </tr>

+ <tr>

+ <td>redirect_uri</td>

+ <td>https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action</td>

+ <td>Die Callback-URI der Online-Applikation zu welcher die Callbacks der OAuth 2.0 Request gesendet werden. Dieser MUSS mit der<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Redirct URL aus der Konfiguration</a> identisch sein.</td>

+ </tr>

+ <tr>

+ <td>client_id</td>

+ <td>https://demo.egiz.gv.at/demoportal-openID_demo</td>

+ <td>Ist der eindeutige Identifikatior f&uuml;r die Online-Applikation. Dieser MUSS mit dem<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Identifikatior aus der Konfiguration</a> identisch sein.</td>

+ </tr>

+ <tr>

+ <td>client_secret</td>

+ <td>0adf1ec7-c2a6-4fd3-897c-456d0fb7b5cc</td>

+ <td>Das Client Password der Online-Applikation. Dieses MUSS mit dem <a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect">Client Password aus der Konfiguration</a> identisch sein.</td>

+ </tr>

+</table>

+<p>&nbsp;</p>

+<p>Nachfolgend ein Beispiel f&uuml;r einen AccessToken Request</p>

+<pre>&lt;form method=&quot;POST&quot; action=&quot;https://demo.egiz.gv.at/demoportal_moaid-2.0/oauth2/token&quot;&gt;

+ &lt;input type=&quot;hidden&quot; value=&quot;authorization_code&quot; name=&quot;grant_type&quot;&gt;

+ &lt;input type=&quot;hidden&quot; value=&quot;https://demo.egiz.gv.at/demoportal-openID_demo&quot; name=&quot;client_id&quot;&gt;

+ &lt;input type=&quot;hidden&quot; value=&quot;https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action&quot; name=&quot;redirect_uri&quot;&gt;

+ &lt;input type=&quot;hidden&quot; value=&quot;0adf1ec7-c2a6-4fd3-897c-456d0fb7b5cc&quot; name=&quot;client_secret&quot;&gt;

+ &lt;input type=&quot;hidden&quot; value=&quot;4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&quot; name=&quot;code&quot;&gt;

+&lt;/form&gt;</pre>

+<p>Die AccessToken Response beinhaltet ein signiertes JSON-Token welches alle angeforderten (Parameter <em>scope</em> im AuthCode Request) und vorhandenen Authentifizierungsdaten beinhaltet. Dieses JSON-Token ist mit einer JSON Web Signatur von MOA-ID-Auth signiert, wobei die Signatur alle angeforderten Daten einschlie&szlig;t. Details zur Konfiguration des Signatur Zertifikats finden Sie <a href="../config/config.html#basisconfig_moa_id_auth_param_protocol_openid">hier</a>. </p>

+<table width="1247" border="1">

+ <tr>

+ <th width="115" scope="col">Name</th>

+ <th width="262" scope="col">Beispielwert</th>

+ <th width="848" scope="col">Beschreibung</th>

+ </tr>

+ <tr>

+ <td>access_token</td>

+ <td>SlAV32hkKG</td>

+ <td><p>Ein AccessToken welches f&uuml;r eine anschlie&szlig;ende Kommunikation mit MOA-ID-Auth verwendet werden kann. </p>

+ <p><strong>Hinweis:</strong> Diese Funktion wird jedoch aktuell nicht unterst&uuml;tzt.</p></td>

+ </tr>

+ <tr>

+ <td>token_type</td>

+ <td>Bearer</td>

+ <td><p>OpenID Connect spezifischer Parameter (Details entnehmen Sie bitte der <a href="#referenzierte_spezifikation">OpenID Connect Spezifikation</a>)</p></td>

+ </tr>

+ <tr>

+ <td>expires_in</td>

+ <td>3600</td>

+ <td>G&uuml;ltigkeitszeitraum der Response (TODO)</td>

+ </tr>

+ <tr>

+ <td>scope</td>

+ <td>openID profile eID</td>

+ <td>Die im AuthCode Request angeforderten Profile.</td>

+ </tr>

+ <tr>

+ <td>id_token</td>

+ <td>eyJhbGciOiJSU.....</td>

+ <td>Dieses Element beinhaltet die eigentlichen Authentifizierungsdaten und ist durch eine JSON Web Signatur signiert.</td>

+ </tr>

+</table>

+<p>Nachfolgend ein Beispiel f&uuml;r einen AccessToken Response</p>

+<pre>{

+ &quot;access_token&quot;: &quot;SlAV32hkKG&quot;,

+ &quot;token_type&quot;: &quot;Bearer&quot;,

+ &quot;expires_in&quot;: 3600,

+ &quot;scope&quot;: &quot;openid eID&quot;

+ &quot;id_token&quot;: &quot;eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.ewogImlzc

+ yI6ICJodHRwOi8vc2VydmVyLmV4YW1wbGUuY29tIiwKICJzdWIiOiAiMjQ4Mjg5

+ NzYxMDAxIiwKICJhdWQiOiAiczZCaGRSa3F0MyIsCiAibm9uY2UiOiAibi0wUzZ

+ fV3pBMk1qIiwKICJleHAiOiAxMzExMjgxOTcwLAogImlhdCI6IDEzMTEyODA5Nz

+ AKfQ.ggW8hZ1EuVLuxNuuIJKX_V8a_OMXzR0EHR9R6jgdqrOOF4daGU96Sr_P6q

+ Jp6IcmD3HP99Obi1PRs-cwh3LO-p146waJ8IhehcwL7F09JdijmBqkvPeB2T9CJ

+ NqeGpe-gccMg4vfKjkM8FcGvnzZUN4_KSP0aAp1tOJ1zZwgjxqGByKHiOtX7Tpd

+ QyHE5lcMiKPXfEIQILVq0pc_E2DzL7emopWoaoZTF_m0_N0YzFC6g6EJbOEoRoS

+ K5hoDalrcvRYLSrQAZZKflyuVCyixEoV9GfNQC3_osjzw2PAithfubEEBLuVVk4

+ XUVrWOLrLl0nx7RkKU8NXNHq-rvKMzqg&quot;

+} </pre>