aboutsummaryrefslogtreecommitdiff
path: root/id/server/doc/handbook
diff options
context:
space:
mode:
Diffstat (limited to 'id/server/doc/handbook')
-rw-r--r--id/server/doc/handbook/application/application.html24
-rw-r--r--id/server/doc/handbook/config/config.html134
-rw-r--r--id/server/doc/handbook/index.html4
-rw-r--r--id/server/doc/handbook/install/install.html10
-rw-r--r--id/server/doc/handbook/interfederation/interfederation.html73
-rw-r--r--id/server/doc/handbook/intro/Blockdiagramm.pngbin84989 -> 201953 bytes
-rw-r--r--id/server/doc/handbook/intro/anmeldeablauf.pngbin51580 -> 51158 bytes
-rw-r--r--id/server/doc/handbook/intro/intro.html6
-rw-r--r--id/server/doc/handbook/protocol/protocol.html379
9 files changed, 533 insertions, 97 deletions
diff --git a/id/server/doc/handbook/application/application.html b/id/server/doc/handbook/application/application.html
index 83e301089..7fd729683 100644
--- a/id/server/doc/handbook/application/application.html
+++ b/id/server/doc/handbook/application/application.html
@@ -110,6 +110,12 @@ https://<host>:<port>/moa-id-oa/
<th width="559" scope="col">Beschreibung</th>
</tr>
<tr>
+ <td>general.publicURLContext</td>
+ <td>https://localhost:8443/moa-id-oa</td>
+ <td><p>URL unter der das Modul MOA-ID-OA erreichbar ist.</p>
+ <p><strong>Hinweis:</strong> Ist dieser Parameter nicht vorhanden wird die URL aus dem ersten Request generiert.</p></td>
+ </tr>
+ <tr>
<td>general.login.pvp2.idp.metadata.url</td>
<td>https://demo.egiz.gv.at/moa-id-auth/<br>
pvp2/metadata</td>
@@ -117,7 +123,7 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-oa/
</tr>
<tr>
<td>general.login.pvp2.idp.metadata.certificate</td>
- <td>keys/metadata.crt</td>
+ <td>keys/moa_idp.crt</td>
<td>Zertifikat mit dem die PVP2.1 Metadaten des IDP signiert sind. Dieser Zertifikat wird zur Pr&uuml;fung der IDP Metadaten verwendet.</td>
</tr>
<tr>
@@ -138,12 +144,12 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-oa/
</tr>
<tr>
<td>general.login.pvp2.keystore.url</td>
- <td>keys/moa_idp.p12</td>
+ <td>keys/application[password].p12</td>
<td>Keystore mit Schl&uuml;ssel und Zertifikaten welche f&uuml;r das signieren und verschl&uuml;sseln der PVP2.1 Nachrichten verwendet werden sollen.</td>
</tr>
<tr>
<td>general.login.pvp2.keystore.password</td>
- <td>123456</td>
+ <td>password</td>
<td>Passwort des Keystores</td>
</tr>
<tr>
@@ -157,32 +163,32 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-oa/
</tr>
<tr>
<td>general.login.pvp2.keystore.metadata.key.alias</td>
- <td>metadata</td>
+ <td>pvp_metadata</td>
<td>Name des Schl&uuml;ssels der zum Signieren der Metadaten des Modules MOA-ID-Configuration verwendet werden soll</td>
</tr>
<tr>
<td>general.login.pvp2.keystore.metadata.key.password</td>
- <td>123456</td>
+ <td>password</td>
<td>Passwort des Schl&uuml;ssels der zum Signieren der Metadaten verwendet werden soll.</td>
</tr>
<tr>
<td>general.login.pvp2.keystore.authrequest.encryption.key.alias</td>
- <td>encryption</td>
+ <td>pvp_encryption</td>
<td>Name des Schl&uuml;ssels der zum Verschl&uuml;sseln der Anmeldeinformation, welche vom IDP an das Konfigurationstool &uuml;bermittelt, verwendet werden soll</td>
</tr>
<tr>
<td>general.login.pvp2.keystore.authrequest.encryption.key.password</td>
- <td>123456</td>
+ <td>password</td>
<td>Passwort des Schl&uuml;ssels zum Verschl&uuml;sseln der Anmeldeinformation.</td>
</tr>
<tr>
<td>general.login.pvp2.keystore.authrequest.key.alias</td>
- <td>authrequest</td>
+ <td>pvp_request</td>
<td>Name des Schl&uuml;ssels zum Signieren des Authentifizierungsrequests der an den IDP gestellt wird.</td>
</tr>
<tr>
<td>general.login.pvp2.keystore.authrequest.key.password</td>
- <td>123456</td>
+ <td>password</td>
<td>Passwort des Schl&uuml;ssels zum Signieren des Authentifizierungsrequests.</td>
</tr>
</table>
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index ddbe1ac37..6a54d61c0 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -6,6 +6,7 @@
<link rel="stylesheet" href="../common/MOA.css" type="text/css">
</head>
<body link="#990000">
+ X
<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
<tr>
<td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
@@ -167,7 +168,8 @@
</ol>
<p>Optional kann nach dem Schritt 3 Basiskonfiguration des Modules MOA-ID-Auth eine <a href="#import_export_legacy">bestehende MOA-ID 1.5.1 Konfiguration importiert</a> werden. F&uuml;r bestehende Konfigurationen &lt; 1.5.1 wird eine vollst&auml;ndige Neukonfiguration empfohlen.</p>
<h1><a name="uebersicht_zentraledatei" id="uebersicht_zentraledatei"></a>2 Basiskonfiguration</h1>
-<p>Die Basiskonfiguration f&uuml;r die Module MOA-ID-Auth und MOA-ID-Configuration erfolgt mit Hilfe textueller propertie Dateien. Diese Propertie Dateien beinhalten alle Konfigurationsparameter welche f&uuml;r den Start der Module erforderlich sind und m&uuml;ssen der Java Virtual Machine durch eine System Property mitgeteilt werden. Alle &Auml;nderungen die an der Basiskonfiguration vorgenommen werden erfordern einen Neustart der jeweiligen Java Virtual Machine. </p>
+<p>Die Basiskonfiguration f&uuml;r die Module MOA-ID-Auth und MOA-ID-Configuration erfolgt mit Hilfe textueller propertie Dateien. Diese Propertie Dateien beinhalten alle Konfigurationsparameter welche f&uuml;r den Start der Module erforderlich sind und m&uuml;ssen der Java Virtual Machine durch eine System Property mitgeteilt werden. Alle &Auml;nderungen die an der Basiskonfiguration vorgenommen werden erfordern einen Neustart der jeweiligen Java Virtual Machine.</p>
+<p><strong>Hinweis:</strong> Alle URL Konfigurationsparameter auf Dateien ohne den Prefix <em>file:/</em> werden als relative Pfadangaben zum Konfigurationsbasisverzeichnis des jeweiligen Modules interpretiert.</p>
<h2><a name="uebersicht_zentraledatei_aktualisierung" id="uebersicht_zentraledatei_aktualisierung"></a>2.1 MOA-ID-Configuration</h2>
<p>Dieser Abschnitt behandelt die Basiskonfiguration des Modules MOA-ID-Configuration. Der erste Teilabschnitt behandelt die Bekanntmachung der Konfigurationsdatei mittels einer System Property und der zweite Teilabschnitt beschreibt die einzelnen Konfigurationsparameter im Detail. Eine Konfiguration die als Ausgangspunkt f&uuml;r die individuelle Konfiguration verwendet werden kann finden Sie <a href="../../conf/moa-id-configuration/moa-id-configtool.properties">hier</a>.</p>
<h3><a name="moa_id_config_property" id="uebersicht_zentraledatei_aktualisierung7"></a>2.1.1 Bekanntmachung der Konfigurationsdatei</h3>
@@ -206,28 +208,22 @@
<p><strong>Hinweis</strong>: Aktuell wird nur Deutsch (de) oder Englisch (en) unterst&uuml;tzt.</p></td>
</tr>
<tr>
- <td>general.userrequests.cleanup.delay</td>
- <td>18</td>
- <td>Innerhalb dieses Zeitraums muss ein neuer Benutzer die im Benutzerprofil hinterlegte eMail Adresse validieren. </td>
+ <td>general.ssl.certstore</td>
+ <td>certs/certstore</td>
+ <td>Gibt den Pfadnamen zu einem Verzeichnis an, das als Zertifikatsspeicher im Zuge der TLS-Server-Zertifikats&uuml;berpr&uuml;fung verwendet wird.</td>
</tr>
-</table>
-<h4>
-<a name="moa_id_config_parameters_sprache" id="uebersicht_zentraledatei_aktualisierung30"></a>2.1.2.2 Sprachauswahl</h4>
-<p>Der folgende Konfigurationsparameter ist optional.</p>
-<table width="1247" border="1">
<tr>
- <th width="176" scope="col">Name</th>
- <th width="222" scope="col">Beispielwert</th>
- <th width="827" scope="col">Beschreibung</th>
+ <td>general.ssl.truststore</td>
+ <td>certs/truststore</td>
+ <td>TrustedCACertificates enth&auml;lt das Verzeichnis (relativ zur MOA-ID-Auth Basiskonfigurationsdatei), das jene Zertifikate enth&auml;lt, die als vertrauensw&uuml;rdig betrachtet werden. Im Zuge der &Uuml;berpr&uuml;fung der TLS-Serverzertifikate wird die Zertifikatspfaderstellung an einem dieser Zertifikate beendet. Dieses Verzeichnis wird zur Pr&uuml;fung der SSL Serverzertifikate beim Download von PVP 2.1 Metadaten verwendet.</td>
</tr>
<tr>
- <td>general.defaultlanguage</td>
- <td>en</td>
- <td>Die Sprache von der Benutzeroberfläche. Derzeit nur <i>en</i> oder <i>de</i> unterstützt.</td>
+ <td>general.userrequests.cleanup.delay</td>
+ <td>18</td>
+ <td>Innerhalb dieses Zeitraums muss ein neuer Benutzer die im Benutzerprofil hinterlegte eMail Adresse validieren. </td>
</tr>
</table>
-</h4>
-<h4><a name="moa_id_config_parameters_database" id="uebersicht_zentraledatei_aktualisierung10"></a>2.1.2.3 Datenbankzugriff</h4>
+<h4>2.1.2.3 Datenbankzugriff</h4>
<p>Diese Konfigurationsparameter sind nicht optional und m&uuml;ssen in der Konfigurationsdatei enthalten sein und individuell angepasst werden. F&uuml;r die Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Configuration kann jedoch auch mit Datenbanken anderer Hersteller betrieben werden. Hierf&uuml;r wird jedoch auf die <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> verwiesen, welches im Module MOA-ID-Configuration f&uuml;r den Datenbankzugriff verwendet wird. </p>
<table width="1247" border="1">
<tr>
@@ -284,7 +280,7 @@
</tr>
<tr>
<td>general.login.pvp2.idp.metadata.certificate</td>
- <td>keys/metadata.crt</td>
+ <td>keys/moa_idp.crt</td>
<td>Zertifikat mit dem die PVP2.1 Metadaten des IDP signiert sind. Dieser Zertifikat wird zur Pr&uuml;fung der IDP Metadaten verwendet.</td>
</tr>
<tr>
@@ -305,12 +301,12 @@
</tr>
<tr>
<td>general.login.pvp2.keystore.url</td>
- <td>keys/moa_idp.p12</td>
+ <td>keys/application[password].p12</td>
<td>Keystore mit Schl&uuml;ssel und Zertifikaten welche f&uuml;r das signieren und verschl&uuml;sseln der PVP2.1 Nachrichten verwendet werden sollen.</td>
</tr>
<tr>
<td>general.login.pvp2.keystore.password</td>
- <td>123456</td>
+ <td>password</td>
<td>Passwort des Keystores</td>
</tr>
<tr>
@@ -324,32 +320,32 @@
</tr>
<tr>
<td>general.login.pvp2.keystore.metadata.key.alias</td>
- <td>metadata</td>
+ <td>pvp_metadata</td>
<td>Name des Schl&uuml;ssels der zum Signieren der Metadaten des Modules MOA-ID-Configuration verwendet werden soll</td>
</tr>
<tr>
<td>general.login.pvp2.keystore.metadata.key.password</td>
- <td>123456</td>
+ <td>password</td>
<td>Passwort des Schl&uuml;ssels der zum Signieren der Metadaten verwendet werden soll.</td>
</tr>
<tr>
<td>general.login.pvp2.keystore.authrequest.encryption.key.alias</td>
- <td>encryption</td>
+ <td>pvp_encryption</td>
<td>Name des Schl&uuml;ssels der zum Verschl&uuml;sseln der Anmeldeinformation, welche vom IDP an das Konfigurationstool &uuml;bermittelt, verwendet werden soll</td>
</tr>
<tr>
<td>general.login.pvp2.keystore.authrequest.encryption.key.password</td>
- <td>123456</td>
+ <td>password</td>
<td>Passwort des Schl&uuml;ssels zum Verschl&uuml;sseln der Anmeldeinformation.</td>
</tr>
<tr>
<td>general.login.pvp2.keystore.authrequest.key.alias</td>
- <td>authrequest</td>
+ <td>pvp_request</td>
<td>Name des Schl&uuml;ssels zum Signieren des Authentifizierungsrequests der an den IDP gestellt wird.</td>
</tr>
<tr>
<td>general.login.pvp2.keystore.authrequest.key.password</td>
- <td>123456</td>
+ <td>password</td>
<td>Passwort des Schl&uuml;ssels zum Signieren des Authentifizierungsrequests.</td>
</tr>
</table>
@@ -699,34 +695,44 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
</tr>
<tr>
<td>protocols.pvp2.idp.ks.file</td>
- <td>keys/pvp.p12</td>
+ <td>keys/moa_idp[password].p12</td>
<td>Dateiname des Java Keystore oder PKCS12 Keystore zur Signierung von PVP 2.1 spezifischen Inhalten. (PVP 2.1 Metadaten, PVP 2.1 Assertion)</td>
</tr>
<tr>
<td>protocols.pvp2.idp.ks.kspassword</td>
- <td>pass1234</td>
+ <td>password</td>
<td>Passwort zum Keystore</td>
</tr>
<tr>
<td>protocols.pvp2.idp.ks.metadata.alias</td>
- <td>metadata</td>
+ <td>pvp_metadata</td>
<td>Name des Schl&uuml;ssels der zur Signierung der PVP 2.1 Metadaten </td>
</tr>
<tr>
<td>protocols.pvp2.idp.ks.metadata.keypassword</td>
- <td>pass1234</td>
+ <td>password</td>
<td>Passwort des Schl&uuml;ssels der zur Signierung der PVP 2.1 Metadaten </td>
</tr>
<tr>
<td>protocols.pvp2.idp.ks.assertion.sign.alias</td>
- <td>signing</td>
+ <td>pvp_assertion</td>
<td>Name des Schl&uuml;ssels mit dem die PVP 2.1 Assertion durch MOA-ID-Auth unterschieben wird</td>
</tr>
<tr>
<td>protocols.pvp2.idp.ks.assertion.sign.keypassword</td>
- <td>pass1234</td>
+ <td>password</td>
<td>Passwort des Schl&uuml;ssels mit dem die PVP 2.1 Assertion durch MOA-ID-Auth unterschieben wird</td>
</tr>
+ <tr>
+ <td>protocols.pvp2.sp.ks.assertion.encryption.alias</td>
+ <td>pvp_encryption</td>
+ <td>Name des Schl&uuml;ssels mit dem PVP 2.1 Assertion f&uuml;r MOA-ID-Auth als Service Provider durch einen weiteren IDP Verschl&uuml;sselt werden sollen (siehe Kapitel <a href="./../interfederation/interfederation.html">Interfederation</a>)</td>
+ </tr>
+ <tr>
+ <td>protocols.pvp2.sp.ks.assertion.encryption.keypassword</td>
+ <td>password</td>
+ <td>Passwort des Schl&uuml;ssels mit dem PVP 2.1 Assertion f&uuml;r MOA-ID-Auth als Service Provider durch einen weiteren IDP Verschl&uuml;sselt werden sollen (siehe Kapitel <a href="./../interfederation/interfederation.html">Interfederation</a>)</td>
+ </tr>
</table>
<p>&nbsp;</p>
<h5><a name="basisconfig_moa_id_auth_param_protocol_openid" id="uebersicht_bekanntmachung11"></a>2.2.2.3.2 OpenID Connect</h5>
@@ -738,22 +744,22 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
</tr>
<tr>
<td>protocols.oauth20.jwt.ks.file</td>
- <td>keys/openID.p12</td>
+ <td>keys/moa_idp[password].p12</td>
<td>Dateiname des Java Keystore oder PKCS12 Keystore zur Signierung des OpenID Connect <em>id_token</em></td>
</tr>
<tr>
<td>protocols.oauth20.jwt.ks.password=</td>
- <td>pass1234</td>
+ <td>passsword</td>
<td>Passwort zum Keystore</td>
</tr>
<tr>
<td>protocols.oauth20.jwt.ks.key.name</td>
- <td>openID</td>
+ <td>pvp_assertion</td>
<td>Name des Schl&uuml;ssels der zum Signieren des <em>id_tokens</em> verwendet wird</td>
</tr>
<tr>
<td>protocols.oauth20.jwt.ks.key.password</td>
- <td>pass1234</td>
+ <td>pasword</td>
<td>Password des Schl&uuml;ssels der zum Signieren des <em>id_tokens</em> verwendet wird</td>
</tr>
</table>
@@ -1076,7 +1082,7 @@ Checking</td>
<tr>
<td><p>TrustedCACertificates</p></td>
<td>certs/ca-certs</td>
- <td>TrustedCACertificates enth&auml;lt das Verzeichnis (relativ zur MOA-ID-Auth Basiskonfigurationsdatei), das jene Zertifikate enth&auml;lt, die als vertrauensw&uuml;rdig betrachtet werden. Im Zuge der &Uuml;berpr&uuml;fung der TLS-Serverzertifikate wird die Zertifikatspfaderstellung an einem dieser Zertifikate beendet.</td>
+ <td>TrustedCACertificates enth&auml;lt das Verzeichnis (relativ zur MOA-ID-Auth Basiskonfigurationsdatei), das jene Zertifikate enth&auml;lt, die als vertrauensw&uuml;rdig betrachtet werden. Im Zuge der &Uuml;berpr&uuml;fung der TLS-Serverzertifikate wird die Zertifikatspfaderstellung an einem dieser Zertifikate beendet. Dieses Verzeichnis wird zur Pr&uuml;fung der SSL Serverzertifikate f&uuml;r den Zugriff auf das Online-Vollmachten Service, den Stammzahlenregister Gateway und das abholen von PVP 2.1 Metadaten via SSL verwendet.</td>
</tr>
<tr>
<td>ChainingMode</td>
@@ -1216,15 +1222,16 @@ Checking</td>
</tr>
<tr>
<td><span id="wwlbl_loadGeneralConfig_moaconfig_ssoSpecialText">SSO AuthBlockText</span></td>
- <td>Ich #NAME# stimme am #DATE# um #TIME# einer Anmeldung mittels Single Sign-On zu.</td>
+ <td>Ich #NAME#, geboren am #BIRTHDAY# stimme am #DATE# um #TIME# einer Anmeldung mittels Single Sign-On zu.</td>
<td><p>Zus&auml;tzlicher Text der in den AuthBlock eingetragen und von der BenutzerIn oder dem Benutzer signiert wird. Dieser Text, darf aus Buchstaben, Zahlen und Satzzeichen bestehen und wird als direkt nach der &Uuml;berschrift &quot;Anmeldeinformationen&quot; in den Aufblock eingeblendet. Die folgenden Schl&uuml;sselw&ouml;rter k&ouml;nnen zus&auml;tzlich verwendet werden und werden w&auml;hrend des Anmeldevorgangs durch die entsprechenden Anmeldedaten ersetzt.</p>
<ul>
<li>#NAME# wird ersetzt durch Vor- und&nbsp;Familienname (z.B. Max Mustermann)</li>
+ <li>#BIRTHDAY# wird durch das Geburtsdatum ersetzt (z.B. 01.01.1978)</li>
<li>#DATE# wird ersetzt durch das aktuelle Datum (z.B. 05.02.2014)</li>
<li>#TIME# wird ersetzt durch die aktuelle Uhrzeit (z.B. 10:35)</li>
</ul>
<p>Der nebenstehende Beispielwert w&uuml;rde somit zu folgendem Anmeldetext im AuthBlock f&uuml;hren:</p>
- <p><em>Ich Max Mustermann stimme am 05.02.2014 um 10:35 einer Anmeldung mittels Single Sign-On zu.</em></p></td>
+ <p><em>Ich Max Mustermann, geboren am 01.01.1978 stimme am 05.02.2014 um 10:35 einer Anmeldung mittels Single Sign-On zu.</em></p></td>
</tr>
</table>
<h3><a name="konfigurationsparameter_allgemein_stork" id="konfigurationsparameter_allgemein_bku8"></a>3.1.8 Secure idenTity acrOss boRders linKed (STORK)</h3>
@@ -1529,13 +1536,6 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td align="center">&nbsp;</td>
<td>Definiert ob die Online-Applikation dem &ouml;ffentlichen Bereich oder dem privatwirtschaftlichen Bereich (Business Service) zugeordnet ist. Ja nach Bereich sind unterschiedliche Konfigurationsparameter erforderlich.</td>
</tr>
- <tr>
- <td>STORK Applikation</td>
- <td>&nbsp;</td>
- <td align="center">X</td>
- <td align="center">X</td>
- <td>Definiert ob die Applikation eine STORK VIDP Applikation ist. Detailinformationen hierzu finden Sie im Kapitel <a href="#konfigurationsparameter_oa_stork">STORK</a>.</td>
- </tr>
</table>
<h4><a name="konfigurationsparameter_oa_general_public" id="uebersicht_zentraledatei_aktualisierung18"></a>3.2.1.1 &Ouml;ffentlicher Bereich</h4>
<p>Wurde die Online-Applikation einem &ouml;ffentlichen Bereich zugeordnet muss in weiterer Folge der zugeordnete Bereich definiert werden. Hierf&uuml;r stehen folgende Parameter zur Verf&uuml;gung.</p>
@@ -1585,8 +1585,8 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<ul>
<li>FN: Die Stammzahl ist eine Firmenbuchnummer. (Beispiel: <em>FN468924i</em>)</li>
<li>ZVR: Die Stammzahl ist eine Vereinsnummer. (Beispiel: ZVR124572)</li>
- <li>ERSB: Die Stammzahl ist einer Kennzahl aus dem Erg&auml;nzungsregister f&uuml;r sonstige Betroffene (ERsB) (Beispiel: ERSB1425367879
- </li>
+ <li>ERSB: Die Stammzahl ist einer Kennzahl aus dem Erg&auml;nzungsregister f&uuml;r sonstige Betroffene (ERsB) (Beispiel: ERSB1425367879)</li>
+ <li>STORK: L&auml;ndercode dem der Service Provider zugeordnet werden kann. Wird f&uuml;r die Ableitung des STORK-eIdentifiers verwendet.</li>
</ul>
<table width="1250" border="1">
<tr>
@@ -1598,11 +1598,13 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
</tr>
<tr>
<td><span id="wwlbl_loadOA_generalOA_identificationType">Identifikationsnummer</span></td>
- <td><em>FN 468924i<br>
- ZVR124572</em></td>
+ <td><p><em>FN 468924i<br>
+ ZVR 124572<br>
+ STORK SI
+ </em></p></td>
<td align="center">&nbsp;</td>
<td align="center">&nbsp;</td>
- <td>Stammzahl eines privatwirtschaftlichen Unternehmens. Die Angabe erfolgt durch den Prefix des Bereichs aus dem die Stammzahl stammt und der eigentlichen Stammzahl.</td>
+ <td>Stammzahl eines privatwirtschaftlichen Unternehmens oder L&auml;ndercode des STORK Service-Providers bei Verwendung des Modules MOA-ID als <a href="#konfigurationsparameter_oa_protocol_vidp">STORK VIDP</a>. Die Angabe erfolgt durch den Prefix des Bereichs aus dem die Stammzahl stammt und der eigentlichen Stammzahl oder des L&auml;ndercodes im Falle von STORK.</td>
</tr>
</table>
@@ -1902,10 +1904,10 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<p>Dieser Abschnitt dient zur Konfiguration des VIDP Modus des Modules MOA-ID-Auth. Die Konfiguration der nachfolgenden Parameter ist somit nur n&ouml;tig wenn die MOA-ID-Auth Instanz als STORK2 VIDP betrieben werden soll.</p>
<table width="1250" border="1">
<tr>
- <th scope="col">Name</th>
- <th scope="col">Beispielwert</th>
- <th scope="col">Optional</th>
- <th scope="col">Beschreibung</th>
+ <th width="185" scope="col">Name</th>
+ <th width="85" scope="col">Beispielwert</th>
+ <th width="66" scope="col">Optional</th>
+ <th width="886" scope="col">Beschreibung</th>
</tr>
<tr>
<td><p>VIDP Interface aktiv</p></td>
@@ -1914,12 +1916,6 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td><p>Stellt fest, ob das VIDP Interface aktiviert wird.</p></td>
</tr>
<tr>
- <td width="185"><p>Landesvorwahl</p></td>
- <td width="85">ES</td>
- <td width="66" align="center">X</td>
- <td width="886"><p>L&auml;ndercode in dem der Service Provider zugeordnet werden kann. Wird f&uuml;r die Ableitung des STORK-eIdentifiers verwendet.</p></td>
- </tr>
- <tr>
<td><p>Zustimmung f&uuml;r das Ausliefern der Attribute</p></td>
<td>&nbsp;</td>
<td align="center">X</td>
@@ -1983,20 +1979,18 @@ wenn die individuelle Security-Layer Transformation den Formvorschriften der Sp
</tr>
<tr>
<td>AuthblockText</td>
- <td>Mit meiner Anmeldung bestätige ich #NAME# am #DATE# um #TIME# die Übernahme aller meiner Zustellstücke.</td>
+ <td>Ich #NAME#, geboren am #BIRTHDAY# stimme am #DATE# um #TIME# einer Anmeldung mittels Single Sign-On zu.</td>
<td align="center">X</td>
- <td align="center">X</td>
- <td><p>Zus&auml;tzlicher online-applikationsspezifischer Text der in den AuthBlock eingetragen und somit von der BenutzerIn oder dem Benutzer signiert wird. Dieser Text, darf aus Buchstaben, Zahlen und Satzzeichen bestehen und wird direkt nach der &Uuml;berschrift &quot;Anmeldeinformationen&quot; in den Aufblock eingeblendet. Die folgenden Schl&uuml;sselw&ouml;rter k&ouml;nnen zus&auml;tzlich verwendet werden und werden w&auml;hrend des Anmeldevorgangs durch die entsprechenden Anmeldedaten ersetzt.</p>
+ <td align="center" valign="middle">X</td>
+ <td><p>Zus&auml;tzlicher Text der in den AuthBlock eingetragen und von der BenutzerIn oder dem Benutzer signiert wird. Dieser Text, darf aus Buchstaben, Zahlen und Satzzeichen bestehen und wird als direkt nach der &Uuml;berschrift &quot;Anmeldeinformationen&quot; in den Aufblock eingeblendet. Die folgenden Schl&uuml;sselw&ouml;rter k&ouml;nnen zus&auml;tzlich verwendet werden und werden w&auml;hrend des Anmeldevorgangs durch die entsprechenden Anmeldedaten ersetzt.</p>
<ul>
- <li>#NAME# wird ersetzt durch Vor- und Familienname (z.B. Max Mustermann)</li>
+ <li>#NAME# wird ersetzt durch Vor- und&nbsp;Familienname (z.B. Max Mustermann)</li>
+ <li>#BIRTHDAY# wird durch das Geburtsdatum ersetzt (z.B. 01.01.1978)</li>
<li>#DATE# wird ersetzt durch das aktuelle Datum (z.B. 05.02.2014)</li>
<li>#TIME# wird ersetzt durch die aktuelle Uhrzeit (z.B. 10:35)</li>
</ul>
- <p>Der nebenstehende Beispielwert w&uuml;rde somit zu folgendem Anmeldetext im AuthBlock f&uuml;hren:</p>
- <p><em>Mit meiner Anmeldung bestätige ich Max Mustermann am 05.02.2014 um 10:35 die Übernahme aller meiner Zustellstücke.</em></p>
- <p><strong>Hinweis:</strong> Diese Option steht in Kombination mit Single Sign-On nicht zur Verfügung, da bei Verwendung von Single Sign-On ein
- spezieller Single Sign-On AuthBlock verwendet wird (siehe <a href="#konfigurationsparameter_allgemein_sso">Kapitel 3.1.8</a>).</p>
- </td>
+ <p>Der nebenstehende Beispielwert w&uuml;rde somit zu folgendem Anmeldetext im AuthBlock f&uuml;hren:</p>
+ <p><em>Ich Max Mustermann, geboren am 01.01.1978 stimme am 05.02.2014 um 10:35 einer Anmeldung mittels Single Sign-On zu.</em></p></td>
</tr>
<tr>
<td>bPk/wbPk ausblenden</td>
diff --git a/id/server/doc/handbook/index.html b/id/server/doc/handbook/index.html
index 345c3af70..acab7517a 100644
--- a/id/server/doc/handbook/index.html
+++ b/id/server/doc/handbook/index.html
@@ -15,7 +15,7 @@
</table>
<hr/>
<p class="title">MOA-ID (Identifikation) </p>
- <p class="subtitle">&Uuml;bersicht zur Dokumentation der Version 2.0.1 </p>
+ <p class="subtitle">&Uuml;bersicht zur Dokumentation der Version 2.1.0 </p>
<hr/>
<dl>
<dt><a href="./intro/intro.html">Einf&uuml;hrung</a></dt>
@@ -26,6 +26,8 @@
<dd>Erl&auml;uterung aller Konfigurationsoptionen sowie Leitfaden f&uuml;r h&auml;ufige Konfigurationsaufgaben.</dd>
<dt><a href="./protocol/protocol.html">Protokolle</a></dt>
<dd>Erl&auml;uterung der unterst&uuml;tzen Authentifizierungsprotokolle.</dd>
+ <dt><a href="./interfederation/interfederation.html">Interfederation</a><a href="./interfederation/interfederation.html"></a></dt>
+ <dd>Dieser Abschnitt die Interfederation zwischen MOA-ID-Auth Services.</dd>
<dt><a href="./application/application.html">Anwendungen</a></dt>
<dd>Erl&auml;utert die Integration in bestehende Online-Applikationen und beschreibt die beigelegten Demo Applikationen</dd>
<dt><a href="./additional/additional.html">Zusatzinformationen</a></dt>
diff --git a/id/server/doc/handbook/install/install.html b/id/server/doc/handbook/install/install.html
index 3db04c197..ffd700a55 100644
--- a/id/server/doc/handbook/install/install.html
+++ b/id/server/doc/handbook/install/install.html
@@ -112,7 +112,7 @@
<dd> Entpacken Sie die Datei <code>moa-id-auth-2.0.0.zip</code> in ein beliebiges Verzeichnis. Dieses Verzeichnis wird im weiteren Verlauf als <code>$MOA_ID_AUTH_INST</code> bezeichnet. </dd>
<dt>Installation der Kryptographiebibliotheken von SIC/IAIK</dt>
<dd>
- <p>Kopieren Sie alle Dateien aus dem Verzeichnis <code>$MOA_SPSS_INST/ext</code> in das Verzeichnis <code>$JAVA_HOME/jre/lib/ext</code>. Zus&auml;tzlich m&uuml;ssen Sie die Rechtedateien Ihrer Java SE austauschen. Laden Sie dazu die passenden <span class="term">Unlimited Strength
+ <p>Kopieren Sie alle Dateien aus dem Verzeichnis <code>$MOA_ID_AUTH_INST/ext</code> in das Verzeichnis <code>$JAVA_HOME/jre/lib/ext</code>. Zus&auml;tzlich m&uuml;ssen Sie die Rechtedateien Ihrer Java SE austauschen. Laden Sie dazu die passenden <span class="term">Unlimited Strength
Jurisdiction Policy Files</span> von der <a href="http://java.com/download" target="_blank">Java SE Downloadseite </a>und achten Sie darauf die f&uuml;r ihre verwendete Java SE Installation richtige Version zu nehmen. Anschlie&szlig;end folgen Sie der darin enthaltenen Installationsanweisung. </p>
@@ -138,12 +138,12 @@
<p> Um die Module MOA-ID-Auth und MOA-ID-Configuratuion in Tomcat f&uuml;r den Einsatz vorzubereiten, sind folgende Schritte notwendig:</p>
<ul>
<li>Die Datei <code>$MOA_ID_AUTH_INST/moa-id_auth.war</code> enth&auml;lt das einsatzfertige MOA-ID-Auth Webarchiv und muss ins Verzeichnis <code>$CATALINA_HOME/webapps</code> kopiert werden. Dort wird sie beim ersten Start von Tomcat automatisch ins Verzeichnis <code>$CATALINA_HOME/webapps/moa-id-auth</code> entpackt. </li>
- <li>Die Konfigurationsdatei mit der Basiskonfiguration f&uuml;r MOA-ID-Auth und die zugeh&ouml;rigen Verzeichnisse m&uuml;ssen in ein beliebiges Verzeichnis im Dateisystem kopiert werden (z.B. <code>$CATALINA_HOME/conf/moa-id</code>). Eine funktionsf&auml;hige Konfiguration, die als Ausgangspunkt f&uuml;r die Basiskonfiguration des MOA-ID-Auth Modules dienen kann, finden Sie <a href="../../../conf/moa-id/moa-id.properties">hier</a>. <br>
+ <li>Die Konfigurationsdatei mit der Basiskonfiguration f&uuml;r MOA-ID-Auth und die zugeh&ouml;rigen Verzeichnisse m&uuml;ssen in ein beliebiges Verzeichnis im Dateisystem kopiert werden (z.B. <code>$CATALINA_HOME/conf/moa-id</code>). Eine funktionsf&auml;hige Konfiguration, die als Ausgangspunkt f&uuml;r die Konfiguration des MOA-ID-Auth Modules dienen kann, finden Sie <a href="../../../conf/moa-id/moa-id.properties">hier</a>. Diese funktionsf&auml;hige Konfiguration enth&auml;lt auch eine MOA-SPSS Konfiguration, da das Modul MOA-SPSS zurSignaturpr&uuml;fung im Modul MOA-ID-Auth verwendet wird.<br>
</li>
<li> Die Dateien <code>xalan.jar</code>, <code>xercesImpl.jar, serializer.jar </code> und <code>xml-apis.jar</code> aus dem Verzeichnis <code>$MOA_ID_AUTH_INST/endorsed</code> m&uuml;ssen in das Tomcat-Verzeichnis <code>$CATALINA_HOME/endorsed</code> (bzw. <code>$CATALINA_HOME/common/endorsed</code> bis Apache Tomcat Version 5.5) kopiert werden. Sind gleichnamige Dateien dort bereits vorhanden, m&uuml;ssen sie &uuml;berschrieben werden. Die ggf. in diesem Verzeichnis vorhandene Datei <code>xmlParserAPIs.jar</code> muss gel&ouml;scht werden. Sollte das Verzeichnis <code>endorsed</code> nicht vorhanden sein, dann muss dieses zuerst erstellt werden.</li>
- <li>Folgende <span class="term">System Properties</span> k&ouml;nnen gesetzt werden (wird beim Starten von Tomcat der <span class="term">Java Virtual Machine</span> in der Umgebungsvariablen <code>CATALINA_OPTS</code> in der Form <code>-D&lt;name&gt;=&lt;wert&gt;</code> &uuml;bergeben):
- <ul>
- <li id="klein"><code>moa.id.configuration</code>: Pfad und Name der Basiskonfigurationsdatei f&uuml;r MOA-ID-Auth. Eine beispielhafte Konfigurationsdatei fnden Sie <a href="../../../conf/moa-id/moa-id.properties">hier</a>. Wird ein relativer Pfad angegeben, wird dieser relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
+ <li>Folgende <span class="term">System Properties</span> k&ouml;nnen gesetzt werden (wird beim Starten von Tomcat der <span class="term">Java Virtual Machine</span> in der Umgebungsvariablen <code>CATALINA_OPTS</code> in der Form <code>-D&lt;name&gt;=&lt;wert&gt;</code> &uuml;bergeben). Eine Beispielkonfiguration in welcher diese Umgebungsvariablen gesetzt werden finden Sie <a href="../../../deploy/tomcat/">hier</a>.
+<ul>
+ <li id="klein"><code>moa.id.configuration</code>: Pfad und Name der Basiskonfigurationsdatei f&uuml;r MOA-ID-Auth. Eine beispielhafte Konfigurationsdatei fnden Sie <a href="../../../deploy/conf/moa-id/moa-id.properties">hier</a>. Wird ein relativer Pfad angegeben, wird dieser relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
<li><code>moa.spss.server.configuration</code>: Pfad und Name der zentralen Konfigurationsdatei f&uuml;r MOA SP/SS. Eine beispielhafte Konfigurationsdatei finden Sie <a href="../../../conf/moa-spss/SampleMOASPSSConfiguration.xml">hier</a>. Wird ein relativer Pfad angegeben, wird dieser relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert. Ist diese <span class="term">System Property</span> nicht gesetzt, wird automatisch eine im Webarchiv unter <code>WEB-INF/conf</code> enthaltene Default-Konfiguration herangezogen.</li>
<li><code>eu.stork.samlengine.config.location</code>: Pfad auf den Ordner mit den zentralen Konfigurationsdateien f&uuml;r STORK. Die Beispielkonfiguration f&uuml;r das Modul MOA-ID-Auth enth&auml;lt bereits den<a href="../../../conf/moa-id/stork/"> Ordner f&uuml;r die STORK Konfiguration</a>. </li>
<li id="klein"><code>log4j.configuration</code>: URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration finden Sie <a href="../../../conf/moa-id/log4j.properties">hier</a>. Wird eine relative URL angegeben, wird diese als File-URL relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert. Ist diese <span class="term">System Property</span> nicht gesetzt, wird automatisch eine im Webarchiv unter <code>WEB-INF/classes</code> enthaltene Default-Konfiguration herangezogen.</li>
diff --git a/id/server/doc/handbook/interfederation/interfederation.html b/id/server/doc/handbook/interfederation/interfederation.html
new file mode 100644
index 000000000..b67124806
--- /dev/null
+++ b/id/server/doc/handbook/interfederation/interfederation.html
@@ -0,0 +1,73 @@
+<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
+<html>
+<head>
+ <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" >
+ <title>MOA-ID - Protokolle</title>
+ <link rel="stylesheet" href="../common/MOA.css" type="text/css">
+</head>
+<body link="#990000">
+ <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
+ <tr>
+ <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
+ <td align="center" class="logoTitle">Dokumentation</td>
+ <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
+ </tr>
+ </table>
+ <hr/>
+ <p class="title"><a href="../index.html">MOA-ID (Identifikation) </a></p>
+<p class="subtitle">Interfederation</p>
+ <hr/>
+<h1>Inhalt</h1>
+ <ol>
+ <li><a href="#allgemeines">Allgemeines</a>
+ <ol>
+ <li>. </li>
+ </ol>
+ </li>
+</ol>
+ <p>&nbsp;</p>
+ <h1>Allgemeines</h1>
+ <p>Ab der Version 2.0.2 des Modulepackets MOA-ID unterst&uuml;tzt das Modul MOA-ID-Auth Single Sign-On Interfederation zwischen Instanzen des Modules MOA-ID-Auth, welche bei unterschiedlichen Service Providern betrieben werden. Die nachfolgende Abbildung zeigt das Blockdiagramm einer solchen Systemkonfiguration und beschreibt die Funktionalit&auml;t auf einer abstrakten Ebene.</p>
+ <p>&nbsp;</p>
+ <p>&nbsp;</p>
+ <p>&nbsp; </p>
+ <p>&nbsp;</p>
+<h1><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h1>
+<table class="fixedWidth" border="1" cellpadding="2">
+ <tbody>
+ <tr>
+ <th>Spezifikation</th>
+ <th>Link</th>
+ </tr>
+ <tr id="sl">
+ <td><p>Security Layer Spezifikation V1.2.0</p></td>
+ <td><a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/">http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/</a></td>
+ </tr>
+ <tr>
+ <td>PVP 2.1 S-Profil Spezifikation</td>
+ <td><a href="http://reference.e-government.gv.at/uploads/media/PVP2-S-Profil_2_0_0_a-2011-08-31.pdf">http://reference.e-government.gv.at/uploads/media/PVP2-S-Profil_2_0_0_a-2011-08-31.pdf</a></td>
+ </tr>
+ <tr>
+ <td>OpenID Connect</td>
+ <td><a href="http://openid.net/connect/">http://openid.net/connect/</a></td>
+ </tr>
+ <tr>
+ <td>STORK 2</td>
+ <td>@TODO Link</td>
+ </tr>
+ <tr>
+ <td>Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0</td>
+ <td><a href="#http://docs.oasis-open.org/security/saml/v2.0/saml-metadata-2.0-os.pdf">http://docs.oasis-open.org/security/saml/v2.0/saml-metadata-2.0-os.pdf</a></td>
+ </tr>
+ <tr>
+ <td>Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0</td>
+ <td><a href="http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf">http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf</a></td>
+ </tr>
+ <tr>
+ <td>Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V1.1</td>
+ <td><a href="https://www.oasis-open.org/committees/download.php/3406/oasis-sstc-saml-core-1.1.pdf">https://www.oasis-open.org/committees/download.php/3406/oasis-sstc-saml-core-1.1.pdf</a></td>
+ </tr>
+ </tbody>
+</table>
+</body>
+</html>
diff --git a/id/server/doc/handbook/intro/Blockdiagramm.png b/id/server/doc/handbook/intro/Blockdiagramm.png
index f5bdb9e3a..1490530ea 100644
--- a/id/server/doc/handbook/intro/Blockdiagramm.png
+++ b/id/server/doc/handbook/intro/Blockdiagramm.png
Binary files differ
diff --git a/id/server/doc/handbook/intro/anmeldeablauf.png b/id/server/doc/handbook/intro/anmeldeablauf.png
index a6af21c5f..59bdefe62 100644
--- a/id/server/doc/handbook/intro/anmeldeablauf.png
+++ b/id/server/doc/handbook/intro/anmeldeablauf.png
Binary files differ
diff --git a/id/server/doc/handbook/intro/intro.html b/id/server/doc/handbook/intro/intro.html
index ffa3c37a4..9b42c9e7a 100644
--- a/id/server/doc/handbook/intro/intro.html
+++ b/id/server/doc/handbook/intro/intro.html
@@ -41,7 +41,7 @@
<ol>
<li><u>CORE LOGIC</u>: Diese Komponente ist die zentrale Logik zur Steuerung der einzelnen Prozesse innerhalb MOA-ID 2.x.</li>
<li><u>Protocol Adapter</u>: Stellt die in MOA-ID 2.x unterst&uuml;tzten <a href="../protocol/protocol.html">Authentifizierungsprotokolle</a> f&uuml;r die Anbindung von Service Providern zur Verf&uuml;gung.</li>
- <li><u>Auth Sources</u>: Stellt die von MOA-ID 2.x unterst&uuml;tzte Identifikationsmechanismen zur Verf&uuml;gung. Dies sind die &ouml;sterreichische B&uuml;rgerkarte oder Handy-Signatur sowie die Anmeldung ausl&auml;ndischer Personen mit Hilfe des STORK Protokoll.</li>
+ <li><u>Auth Sources</u>: Stellt die von MOA-ID 2.x unterst&uuml;tzte Identifikationsmechanismen zur Verf&uuml;gung. Dies sind die &ouml;sterreichische B&uuml;rgerkarte oder Handy-Signatur, die Anmeldung ausl&auml;ndischer Personen mit Hilfe des STORK Protokoll oder mittels Single Sign-On von einem weiteren vertrauensw&uuml;rdigen Identity Provider (Interfederation).</li>
<li><u>Template Generator</u>: Der Template Generator erzeugt f&uuml;r Service Provider die entsprechenden Login-Masken f&uuml;r die Integration in die eigene Web-Applikation.</li>
<li><u>SSO Module</u>: Das Single Sign-On (SSO) Modul verwaltet die zus&auml;tzlichen Operationen die sich aus der Umsetzung von SSO ergeben. Dies umfasst im Besonderen das SSO Session-Management.</li>
<li><u>Statistic Module</u>: Dieses Modul dient zur Generierung von anonymisierten Statistikdaten aus den Anmeldeinformationen. </li>
@@ -56,8 +56,8 @@
<h3><a name="allgemeines_service_szrgw" id="allgemeines_service3"></a>1.1.2 Ausl&auml;ndische B&uuml;rger</h3>
<p> Ab der MOA-ID Release 1.4.7 ist es m&ouml;glich, dass sich auch ausl&auml;ndische B&uuml;rger mittels MOA-ID einloggen k&ouml;nnen. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausl&auml;ndischen B&uuml;rgers eine Eintragung im Erg&auml;nzungsregister f&uuml;r nat&uuml;rliche Personen gem&auml;&szlig; E-Government Gesetz &sect;6(5) vornimmt. Somit ist es m&ouml;glich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird. Der Zugang zu diesem Stammzahlenregister-Gateway ist &uuml;ber eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p>
<h1><a name="moaidauth" id="moaidauth"></a>2 MOA-ID-Auth</h1>
-<p>Das Modul MOA-ID-Auth dient der Identifizierung und Authentifizierung im Rahmen eines Anmeldevorgangs an einer Online-Applikation. Die Identifizierung und Authentifizierung erfolgt mit B&uuml;rgerkartem, Handy-Signatur oder f&uuml;r aus&auml;ndische Personen mittels STORK.</p>
-<p>Die Funktionalit&auml;t und der Aufbau der Schnittstellen des Modules MOA-ID-Auth in Richtung Online-Applikation wird im Kapitel <a href="../protocol/protocol.html">Protokolle</a> beschriebe.
+<p>Das Modul MOA-ID-Auth dient der Identifizierung und Authentifizierung im Rahmen eines Anmeldevorgangs an einer Online-Applikation. Die Identifizierung und Authentifizierung erfolgt mit B&uuml;rgerkartem, Handy-Signatur oder f&uuml;r ausl&auml;ndische Personen mittels STORK.</p>
+<p>Die Funktionalit&auml;t und der Aufbau der Schnittstellen des Modules MOA-ID-Auth in Richtung Online-Applikation wird im Kapitel <a href="../protocol/protocol.html">Protokolle</a> beschrieben.
<p>F&uuml;r den Betrieb von MOA-ID-Auth ist der Einsatz von MOA-Signaturpr&uuml;fung (MOA-SP) erforderlich.</p>
<h2><a name="ablauf" id="ablauf"></a> 2.1 Ablauf einer Anmeldung</h2>
<p>Die nachfolgende Grafik beschreibt den Ablauf eines Abmeldevorgangs an einer Online-Applikation mit Hilfe von MOA-ID-Auth unter Verwendung der B&uuml;rgerkarte oder der Handy-Signatur.</p>
diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html
index 5055a4325..40277aa6b 100644
--- a/id/server/doc/handbook/protocol/protocol.html
+++ b/id/server/doc/handbook/protocol/protocol.html
@@ -23,6 +23,14 @@
<ol>
<li><a href="#allgemeines_zugangspunkte">&Uuml;bersicht der Zugangspunkte</a></li>
<li><a href="#allgemeines_attribute">&Uuml;bersicht der m&ouml;glichen Attribute</a></li>
+ <li><a href="#statuscodes">&Uuml;bersicht der m&ouml;glichen MOA-ID spezifischen Statuscodes</a>
+<ol>
+ <li><a href="#statuscodes_1xxxx">Statuscodes 1xxxx</a></li>
+ <li><a href="#statuscodes_4xxxx">Statuscodes 4xxxx</a></li>
+ <li><a href="#statuscodes_6xxxx">Statuscodes 6xxxx</a></li>
+ <li><a href="#statuscodes_9xxxx">Statuscodes 9xxxx</a></li>
+ </ol>
+ </li>
<li><a href="#allgemeines_sso">Single Sign-On</a></li>
<li><a href="#allgemeines_ssologout">SSO Logout </a></li>
<li><a href="#allgemeines_legacy">Legacy Request (B&uuml;rgerkartenauswahl beim Service Provider)</a></li>
@@ -35,7 +43,7 @@
<li><a href="#pvp21_binding">Zugangspunkte</a>
<ol>
<li><a href="#2.3.1 Authentifizierungsrequest">Authentifizierungsrequest</a></li>
- <li><a href="#pvp21_binding_response">Authentifizierungsrespon</a></li>
+ <li><a href="#pvp21_binding_response">Authentifizierungsresponse</a></li>
</ol>
</li>
</ol>
@@ -50,6 +58,7 @@
<li><a href="#openid_req_authnresp">AuthCode Response</a></li>
<li><a href="#openid_req_tokenreq">AccessToken Request</a></li>
<li><a href="#openid_req_tokenresp">AccessToken Response</a></li>
+ <li><a href="#openid_req_errorresponse">Error Response</a></li>
</ol>
</li>
</ol>
@@ -486,7 +495,328 @@ Redirect Binding</td>
<p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
</tr>
</table>
-<h2><a name="allgemeines_sso" id="allgemeines_zugangspunkte3"></a>1.3 Single Sign-On</h2>
+<h2><a name="statuscodes" id="allgemeines_zugangspunkte6"></a>1.3 &Uuml;bersicht der m&ouml;glichen MOA-ID spezifischen Statuscodes</h2>
+<p>Vom Modul MOA-ID-Auth werden verschiedene Authentifizierungsprotololle wobei diese Protokolle die Fehlerr&uuml;ckgabe unterschiedlich spezifizieren. Zus&auml;tzlich zu den protokolabh&auml;ngigen Statuscodes (<a href="#referenzierte_spezifikation">siehe Spezifikation des jeweiligen Protokolls</a>) werden zus&auml;tzliche protokollunabh&auml;ngige Statuscodes an den Service Provider zur&uuml;ckgeliefert, wobei sich das Format der Fehlerr&uuml;ckgabe jedoch weiterhin protokolspezifisch ist.</p>
+<p>Die nachfolgende Tabelle zeigt alle protokollunabh&auml;ngigen Statuscodes welche vom Modul MOA-ID-Auth zur&uuml;ckgeliefert werden k&ouml;nnen.</p>
+<h3><a name="statuscodes_1xxxx" id="allgemeines_zugangspunkte7"></a>1.3.1 Statuscodes 1xxxx</h3>
+<p>Alle Statuscodes beginnent mit der Zahl eins beschreiben Fehler welche w&auml;hrend des Identifizerungs- und Authentifizierungsvorgangs aufgetreten sind.</p>
+<h4><a name="statuscodes_10xxx" id="allgemeines_zugangspunkte11"></a>1.3.1.1 Authentifizierung (10xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>1000</td>
+ <td>Anmeldung an der angeforderten Online-Applikation wird nicht unterst&uuml;tzt.</td>
+ </tr>
+ <tr>
+ <td>1001</td>
+ <td>Es ist bereits eine Anmeldung im Gange.</td>
+ </tr>
+ <tr>
+ <td>1002</td>
+ <td>Fehlerhafter Parameter</td>
+ </tr>
+ <tr>
+ <td>1003</td>
+ <td>Anfrage nur &uuml;ber https m&ouml;glich</td>
+ </tr>
+ <tr>
+ <td>1004</td>
+ <td>Zertifikat konnte nicht ausgelesen werden</td>
+ </tr>
+ <tr>
+ <td>1005</td>
+ <td>Die Authentifizierung wurde durch den Benutzer abgebrochen</td>
+ </tr>
+ <tr>
+ <td>1006</td>
+ <td>Vollmachtsmodus f&uuml;r nicht-&ouml;ffentlichen Bereich wird nicht unterst&uuml;tzt.</td>
+ </tr>
+ <tr>
+ <td>1007</td>
+ <td>Vollmachtsmodus f&uuml;r ausl&auml;ndische Personen wird nicht unterst&uuml;tzt.</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_11xxx" id="allgemeines_zugangspunkte12"></a>1.3.1.2 Validierung (11xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>1100</td>
+ <td>Ung&uuml;ltige MOA SessionID</td>
+ </tr>
+ <tr>
+ <td>1101</td>
+ <td>Fehler beim Parsen eines Parameters</td>
+ </tr>
+ <tr>
+ <td>1102</td>
+ <td>Fehler beim Validieren der Personenbindung</td>
+ </tr>
+ <tr>
+ <td>1103</td>
+ <td>Signatur ung&uuml;ltig</td>
+ </tr>
+ <tr>
+ <td>1104</td>
+ <td>Zertifikat der Personenbindung ung&uuml;ltig</td>
+ </tr>
+ <tr>
+ <td>1105</td>
+ <td>Zertifikat der Signature ung&uuml;ltig</td>
+ </tr>
+ <tr>
+ <td>1106</td>
+ <td>Fehler beim Validieren des AuthBlocks</td>
+ </tr>
+ <tr>
+ <td>1107</td>
+ <td>Fehler beim Validieren eines SSL-Server-Endzertifikates</td>
+ </tr>
+ <tr>
+ <td>1108</td>
+ <td>Fehler beim Validieren der Online Vollmacht.</td>
+ </tr>
+ <tr>
+ <td>1109</td>
+ <td>Fehler beim validieren der SZR-Gateway Response</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_12xxx" id="allgemeines_zugangspunkte13"></a>1.3.1.3 STORK (12xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>1200</td>
+ <td>Fehler beim erstellen des STORK Authentifizierungsrequests</td>
+ </tr>
+ <tr>
+ <td>1201</td>
+ <td>Fehler beim validieren der STORK Authentifizierungsresponse</td>
+ </tr>
+ <tr>
+ <td>1202</td>
+ <td>STORK Authentifizierungsresponse antwortet mit einem Fehler</td>
+ </tr>
+ <tr>
+ <td>1203</td>
+ <td>Fehler beim Sammeln von STORK Attributen</td>
+ </tr>
+</table>
+<h3><a name="statuscodes_4xxxx" id="allgemeines_zugangspunkte8"></a>1.3.2 Statuscodes 4xxxx</h3>
+<p>Alles Statuscodes beginnent mit der Zahl vier beschreiben Fehler die w&auml;hrend der Kommunikation mit externen Services aufgetreten sind.</p>
+<h4><a name="statuscodes_40xxx" id="allgemeines_zugangspunkte19"></a>1.3.2.1 BKU (40xxxx)</h4>
+<p>Tritt w&auml;hrend des Anmeldevorgangs in der B&uuml;rgerkartenumgebung ein Fehler auf so wird der entsprechende Fehlercode an den Service Provider weitergereicht. Der der durch das Modul MOA-ID-Auth weitergereichte Statuscode f&uuml;r B&uuml;rgerkartenumgebungsfehler wei&szlig;t das folgende zweiteilige Format auf. Der erste Teil, bestehend aus zwei Dezimalstellen, kennzeichnet den Fehler als Fehler als B&uuml;rgerkartenumgebungsfehler. Der zweite Teil, bestehend aus vier Dezimalstellen bezeichnet den eindeutigen Identifikator des Fehers aus der B&uuml;rgerkartenumgebung (<a href="#referenzierte_spezifikation">siehe SecurityLayer Spezifikation</a>). </p>
+<p align="right"><em>{40}{xxxxx}</em></p>
+<blockquote>
+ <p>{40} ... MOA-ID Statuscode f&uuml;r Fehler aus der B&uuml;rgerkartenumgebung</p>
+ <p>{xxxx} .... Fehlercode der B&uuml;rgerkartenumgebung.</p>
+</blockquote>
+<h4><a name="statuscodes_41xxx" id="allgemeines_zugangspunkte20"></a>1.3.2.2 MIS (41xxxx)</h4>
+<p>Tritt w&auml;hrend der Kommunikation mit dem Online-Vollmachten Service oder der Vollmachtsauswahl ein Fehler auf so wird der entsprechende Fehlercode an den Service Provider weitergereicht. Der der durch das Modul MOA-ID-Auth weitergereichte Statuscode f&uuml;r Fehler aus dem Online-Vollmachten Service wei&szlig;t das folgende zweiteilige Format auf. Der erste Teil, bestehend aus drei Dezimalstellen, kennzeichnet den Fehler als Fehler als Online-Vollmachten Service Fehler. Der zweite Teil, bestehend aus drei Dezimalstellen bezeichnet den eindeutigen Identifikator des Fehlers aus dem Online-Vollmachten Service (<a href="#referenzierte_spezifikation">siehe Online-Vollmachten Spezifikation</a>). </p>
+<p><em>{411}{xxxx}</em></p>
+<blockquote>
+ <p>{411} ... MOA-ID Statuscode f&uuml;r Fehler aus dem Online-Vollmachten Service.</p>
+ <p>{xxx} .... Fehlercode des Online-Vollmachten Service.</p>
+</blockquote>
+<p>Zus&auml;tzlich zu den gemappeden Fehlern aus dem Online-Vollmachen Service werden zus&auml;tzliche weitere Fehlercodes definiert.</p>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>41000</td>
+ <td>Das Online-Vollmachten Service ist nicht erreichbar</td>
+ </tr>
+ <tr>
+ <td>41001</td>
+ <td>Allgemeiner Fehler bei der Kommunikation mit dem Online-Vollmachten Service</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_42xxx" id="allgemeines_zugangspunkte21"></a>1.3.2.3 SZR-Gateway (42xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>4200</td>
+ <td>Das SZR-Gateway Service ist nicht erreichbar</td>
+ </tr>
+ <tr>
+ <td>4201</td>
+ <td>Die Antragung in das SZR ist fehlgeschlagen</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_43xxx" id="allgemeines_zugangspunkte22"></a>1.3.2.4 MOA SP/SS(43xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>4300</td>
+ <td>Fehler beim Aufruf von MOA SP/SS</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_44xxx" id="allgemeines_zugangspunkte23"></a>1.3.2.5 Interfederation (44xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>4400</td>
+ <td>Fehler beim generieren der Anmeldedaten</td>
+ </tr>
+</table>
+<h3><a name="statuscodes_6xxxx" id="allgemeines_zugangspunkte9"></a>1.3.3 Statuscodes 6xxxx</h3>
+<p>Alles Statuscodes beginnent mit der Zahl sechs beschreiben protokolspezifische Fehler die nicht durch das jeweilige Authentifizierungsprotokoll abgebildet werden.</p>
+<h4><a name="statuscodes_61xxx" id="allgemeines_zugangspunkte24"></a>1.3.3.1 Allgemein (61xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>6000</td>
+ <td>Das Authentifizierungsprotokoll wurde nicht erkannt oder wird nicht unterst&uuml;zt</td>
+ </tr>
+ <tr>
+ <td>6001</td>
+ <td>Der STORK Request wurde nicht erkannt oder wird nicht unterst&uuml;zt</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_61xxx" id="allgemeines_zugangspunkte16"></a>1.3.3.2 PVP 2.1 (61xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>6100</td>
+ <td>Fehler beim erstellen der PVP 2.1 Response</td>
+ </tr>
+ <tr>
+ <td>6101</td>
+ <td>Fehler beim verschl&uuml;sseln der PVP 2.1 Assertion</td>
+ </tr>
+ <tr>
+ <td>6102</td>
+ <td>Authentifizierung entspricht nicht dem geforderten QAA Level</td>
+ </tr>
+ <tr>
+ <td>6103</td>
+ <td>F&uuml;r die im Requst angegebene EnityID konnten keine g&uuml;ltigen Metadaten gefunden werden</td>
+ </tr>
+ <tr>
+ <td>6104</td>
+ <td>Die Signatur des Requests konnte nicht g&uuml;ltig validiert werden. Entweder ist die Signatur ung&uuml;ltig oder das Signaturzertifikat stimmt nicht mit dem in den Metadaten hinterlegten Zertifikat &uuml;berein.</td>
+ </tr>
+ <tr>
+ <td>6105</td>
+ <td>Der Request konnte nicht g&uuml;ltig validiert werden.</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_62xxx" id="allgemeines_zugangspunkte17"></a>1.3.3.3 OpenID Connect (62xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>6200</td>
+ <td>Fehlerhafte redirect url</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_63xxx" id="allgemeines_zugangspunkte18"></a>1.3.3.4 SAML 1(63xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>6300</td>
+ <td>Fehlerhaftes SAML Artifact Format</td>
+ </tr>
+</table>
+<h3><a name="statuscodes_9xxxx" id="allgemeines_zugangspunkte10"></a>1.3.4 Statuscodes 9xxxx</h3>
+<p>Alles Statuscodes beginnent mit der Zahl neun beschreiben interne Serverfehler.</p>
+<h4><a name="statuscodes_90xxx" id="allgemeines_zugangspunkte14"></a>1.3.4.1 Konfigurationsfehler (90xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>9000</td>
+ <td>Fehlerhaftes BKU-Selection Template</td>
+ </tr>
+ <tr>
+ <td>9001</td>
+ <td>Fehlerhaftes Send-Assertion Template</td>
+ </tr>
+ <tr>
+ <td>9002</td>
+ <td>Fehlerhaftes SecurityLayer Template.</td>
+ </tr>
+ <tr>
+ <td>9003</td>
+ <td>Fehlerhafte STORK VIDP Konfiguration</td>
+ </tr>
+ <tr>
+ <td>9004</td>
+ <td>Fehlerhafte STORK Konfiguration</td>
+ </tr>
+ <tr>
+ <td>9005</td>
+ <td>Fehlerhafte OpenID Connect Konfiguration</td>
+ </tr>
+ <tr>
+ <td>9006</td>
+ <td>Es sind keine Vollmachtsprofile konfiguriert.</td>
+ </tr>
+ <tr>
+ <td>9007</td>
+ <td>Der SZR-Gateway Client konnte nicht initialisiert werden.</td>
+ </tr>
+</table>
+<h4><a name="statuscodes_91xxx" id="allgemeines_zugangspunkte15"></a>1.3.4.2 Interne Fehler (91xxx)</h4>
+<table width="1237" border="1">
+ <tr>
+ <th width="214" scope="col">Statuscode</th>
+ <th width="1007" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>9100</td>
+ <td>Fehler beim einlesen einer externen Resource.</td>
+ </tr>
+ <tr>
+ <td>9101</td>
+ <td>Datenbankzugriffsfehler</td>
+ </tr>
+ <tr>
+ <td>9102</td>
+ <td>Fehler beim Erzeugen einer internen Datenstruktur</td>
+ </tr>
+ <tr>
+ <td>9103</td>
+ <td>Fehler bei der Verarbeitung eines Templates</td>
+ </tr>
+ <tr>
+ <td>9199</td>
+ <td>Allgemeiner interner Fehler</td>
+ </tr>
+</table>
+<p>&nbsp;</p>
+<h2><a name="allgemeines_sso" id="allgemeines_zugangspunkte3"></a>1.4 Single Sign-On</h2>
<p>Das Modul MOA-ID-Auth unterst&uuml;tzt ab der Version 2.0 Single Sign-On (SSO), wobei diese Funktionalit&auml;t unabh&auml;ngig vom verwendeten Protokoll ist. Bei Verwendung von SSO muss sich der Benutzer nur ein Mal bei MOA-ID-Auth authentifizieren und danach steht die authentifizierte Session f&uuml;r die BenutzerIn oder den Benutzer f&uuml;r weitere Anmeldevorg&auml;nge ohne weitere Authentifizierung mittels B&uuml;rgerkarte, Handy-Signatur oder STORK zur Verf&uuml;gung. Die SSO Session kann danach durch <a href="#allgemeines_ssologout">die BenutzerIn oder den Benutzer beendet</a> werden, oder sie wird von MOA-ID-Auth nach der <a href="./../config/config.html#konfigurationsparameter_allgemein_timeouts">maximal erlaubten Sessionzeit</a> serverseitig beendet. </p>
<p>Das nachfolgende Sequenzdiagramm zeigt eine Anmeldung mittels Single Sign-On an zwei Online-Applikationen unter Verwendung von PVP 2.1. Aus Gr&uuml;nden der &Uuml;bersichtlichkeit wurden die Teile welche die Kommunikation mit der B&uuml;rgerkartenumgebung, die Vollmachten-Auswahl oder den Metadatenaustausch betreffen bewusst nicht ber&uuml;cksichtigt.</p>
<p><img src="sso_sequence.png" width="1095" height="978" alt="Sequenzdiagramm einer Anmeldung mittels Single Sign-On"></p>
@@ -515,7 +845,7 @@ Redirect Binding</td>
<li>Ist die Validierung der Assertion erfolgreich wird die BenutzerIn oder der Benutzer an der Online-Applikation 2 angemeldet</li>
</ol>
<p>Zus&auml;tzliche Informationen zur Konfiguration und die sich daraus ergebenden Anforderungen oder Einschr&auml;nkungen finden sie <a href="./../config/config.html#konfigurationsparameter_allgemein_sso">hier</a>.</p>
-<h2><a name="allgemeines_ssologout" id="allgemeines_zugangspunkte5"></a>1.4 SSO Logout </h2>
+<h2><a name="allgemeines_ssologout" id="allgemeines_zugangspunkte5"></a>1.5 SSO Logout </h2>
<p>Das Modul MOA-ID-Auth stellt ein einfaches Service zur Beendigung einer bestehenden Single Sign-On Session zur Verf&uuml;gung. Nach dem Aufruf dieses Service aus dem Browser des Users wird eine bestehende SSO Session beendet und anschlie&szlig;end wird die BenutzerIn oder der Benutzer an eine im LogOut Request angegebene URL weitergeleitet. </p>
<p>Das SSO Logout Service steht unter folgender URL zur Verf&uuml;gung und ben&ouml;tigt einen http GET Parameter:</p>
<pre>http://&lt;host&gt;:&lt;port&gt;/moa-id-auth/LogOut
@@ -543,7 +873,7 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/LogOut
<pre>https://demo.egiz.gv.at/moa-id-auth/LogOut?redirect=https://demo.egiz.gv.at/demoportal-openID_demo
</pre>
<p><strong>Hinweis:</strong> Dieses Service bietet jedoch NICHT eine vollst&auml;ndige Single Log-Out Funktionalit&auml;t wie sie im SAML 2 Protokoll vorgesehen ist, sondern beendet ausschlie&szlig;lich die SSO Session in der MOA-ID-Auth Instanz.</p>
-<h2><a name="allgemeines_legacy" id="allgemeines_zugangspunkte4"></a>1.5 Legacy Request (B&uuml;rgerkartenauswahl beim Service Provider)</h2>
+<h2><a name="allgemeines_legacy" id="allgemeines_zugangspunkte4"></a>1.6 Legacy Request (B&uuml;rgerkartenauswahl beim Service Provider)</h2>
<p>Soll die B&uuml;rgerkartenauswahl jedoch weiterhin, wie aus MOA-ID 1.5.1 bekannt direkt in der Online-Applikation des Service Providers erfolgen muss f&uuml;r das jeweilige Protokoll der <a href="./../config/config.html#konfigurationsparameter_allgemein_protocol_legacy">Legacy Modus aktiviert</a> werden. Wird der Legacy Modus verwendet muss jedoch zus&auml;tzlich zu den protokollspezifischen Parametern mindestens der Parameter <em>bkuURI</em>, welcher die gew&auml;hlte B&uuml;rgerkartenumgebung enth&auml;lt, im Authentifizierungsrequest an MOA-ID-Auth &uuml;bergeben werden (siehe <a href="#saml1_startauth">Protokoll SAML 1</a>). Die folgenden Parameter stehen bei Verwendung des Legacy Modus unabh&auml;ngig vom verwendeten Protokoll zur Verf&uuml;gung und bilden den gesamten Umfang der B&uuml;rgerkartenauswahl, wie aus MOA-ID 1.5.1 bekannt, ab.</p>
<table border="1" width="1247">
<tbody>
@@ -713,10 +1043,11 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/metadata
<td><p>Dieses Element beinhaltet als Attribut den Status Code des Anmeldevorgangs. Nochfolgend die wichtigsten Statuscodes und eine kurze Beschreibung.</p>
<ul>
<li><em>urn:oasis:names:tc:SAML:2.0:status:Success</em>: Der Anmeldevorgang konnte Erfolgreich durchgef&uuml;hrt werden. </li>
- <li><em>MOA-ID-Auth Fehlercode</em>: W&auml;hrenddes Anmeldevorgangs ist ein Fehler aufgetreten wobei f&uuml;r diesen Fehler in Fehlercode existiert. Zus&auml;tzlich beinhaltet der Wert dieses Elements eine kurze Fehlerbeschreibung.</li>
- <li><em>urn:oasis:names:tc:SAML:2.0:status:Responder</em>: W&auml;hrend des Anmeldevorgangs ist ein Fehler aufgetreten wobei diesem Fehler kein Fehlercode zugeordnet ist (Allgemeiner Fehler). Zus&auml;tzlich beinhaltet der Wert dieses Elements jedoch eine kurze Fehlerbeschreibung.</li>
+ <li><em>urn:oasis:names:tc:SAML:2.0:status:Responder</em>: W&auml;hrend des Anmeldevorgangs ist ein Fehler aufgetreten. Das Element <code>/saml2p:Response/saml2p:Status/saml2p:StatusCode</code><code>/saml2p:StatusCode</code> beinhaltet einen MOA-ID-Auth Fehlercode (siehe <a href="#statuscodes">Kapitel 1.3</a>). Zus&auml;tzlich beinhaltet der Wert dieses Elements jedoch eine kurze Fehlerbeschreibung.</li>
<li><em>urn:oasis:names:tc:SAML:2.0:status:NoPassive</em>: Die BenutzerIn oder der Benutzer ist aktuell keine aktive und g&uuml;ltige Single Sign-On Session mit MOA-ID-Auth. N&auml;here Details zum <em>isPassiv</em> Authentifizierungsrequest finden Sie in der PVP 2.1 oder der SAML2 Spezifikation.</li>
- </ul></td>
+ <li><em>urn:oasis:names:tc:SAML:2.0:status:Requester</em>: Der Authentifizierungsrequest konnte nicht erfolgreich validiert werden.</li>
+ </ul>
+ <p><strong>Hinweis:</strong> Eine vollst&auml;ndige Aufstellung aller m&ouml;gtlichen SAML2 spezifischen Statuscodes fnden Sie in der SAML2 Spezifikation.</p></td>
</tr>
</table>
<table border="1" cellpadding="2" class="fixedWidth">
@@ -1002,6 +1333,31 @@ Folgende Parameter müssen mit dem AuthCode-Request mitgesendet werden, wobei für
XUVrWOLrLl0nx7RkKU8NXNHq-rvKMzqg&quot;
} </pre>
+<h3><a name="openid_req_errorresponse" id="openid_req_errorresponse"></a>3.2.5 Error Response</h3>
+<p>Sollte w&auml;hrend des Authentifizierungsvorgangs ein Fehler auftreten antwortet das Modul MOA-ID-Auth mit einer Error Response. Diese beinhaltet folgende Parameter</p>
+<table width="1247" border="1">
+ <tr>
+ <th width="115" scope="col">Name</th>
+ <th width="262" scope="col">Beispielwert</th>
+ <th width="848" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>error</td>
+ <td>invalid_request_object</td>
+ <td><p>Fehlercode laut OpenID Connect Spezifikation</p></td>
+ </tr>
+ <tr>
+ <td>error_description</td>
+ <td>Der Request ist ung&uuml;ltig</td>
+ <td><p>Kurze textuelle Fehlerbeschreibung</p></td>
+ </tr>
+ <tr>
+ <td>error_uri</td>
+ <td>https://demo.egiz.gv.at/demoportal_moaid-2.0/moa_errorcodes.html#1000</td>
+ <td>URL auf eine Seite mit zus&auml;tzlicher Fehlerbeschreibung</td>
+ </tr>
+</table>
+<p>&nbsp;</p>
<h1><a name="saml1"></a>3 SAML 1</h1>
<p>SAML 1 wird durch MOA-ID-Auth 2.0 auch weiterhin, aus Gr&uuml;nden der Abw&auml;rtskompatibilit&auml;t, als Authentifizierungsprotokoll unterst&uuml;tzt. Es wird jedoch der Umstieg auf ein aktuelles Authentifizierungsprotokoll wie PVP 2.1 oder OpenID Connect empfohlen.</p>
<p>Die nachfolgenden Abschnitte beschreiben den Anmeldevorgang unter Verwendung von SAML1 wobei die Funktionalit&auml;t, wie sie aus MOA-ID &lt;= 1.5.1 bekannt ist, auch weiterhin unterst&uuml;tzt wird (B&uuml;rgerkartenauswahl auf Seiten des Service Provider). Zus&auml;tzlich steht f&uuml;r SAML 1 jedoch auch die Funktionalit&auml;t der automatischen Generierung der B&uuml;rgerkartenauswahl durch das Modul MOA-ID-Auth zur Verf&uuml;gung.</p>
@@ -1116,13 +1472,14 @@ In diesem Redirect werden der Gesch&auml;ftsbereich und ein SAML-Artifact als Pa
<p>Der Service Provider kann anschlie&szlig;end die Assertion, welche die Anmeldedaten oder eine Fehlermeldung beinhaltet, unter Verwendung des SAMLArtifact, am Modul MOA-ID-Auth abholen.</p>
<p>Das MOA-ID-AUTH Web Service wird &uuml;ber einen &lt;samlp:Request&gt; aufgerufen. Der &lt;samlp:Request&gt; enth&auml;lt in einem &lt;samlp:AssertionArtifact&gt; das von MOA-ID-AUTH &uuml;bergebene SAML-Artifact. <br>
<br>
-MOA-ID-AUTH liefert als Antwort einen &lt;samlp:Response&gt;. Die Anmeldedaten sind im &lt;samlp:Response&gt; in Form einer &lt;saml:Assertion&gt; enthalten. </p>
+MOA-ID-AUTH liefert als Antwort einen &lt;samlp:Response&gt;. Die Anmeldedaten sind im &lt;samlp:Response&gt; in Form einer &lt;saml:Assertion&gt; enthalten. <br>
+Sollte w&auml;hrend des Anmeldevorgangs ein Fehler aufgetreten sein, antworted das Modul MOA-ID-Auth mit einer Fehlerbeschreibung in der SAML Response. Das Element <code>/samlp:Response/samlp:Status/samlp:StatusCode</code><code>/</code> beinhaltet auf jeden Fall einen allgemeinen Fehlercode laut SAML1 Spezifikation. Zus&auml;tzlich kann das Element <code>/samlp:Response/samlp:Status/samlp:StatusCode</code><code>/</code><code>samlp:StatusCode</code><code>/</code>einen MOA-ID-Auth Fehlercode (siehe <a href="#statuscodes">Kapitel 1.3</a>) beinhalten. Au&szlig;erdem erfolgt eine kurze textuelle Fehlerbeschreibung im Element <code>/samlp:Response/samlp:Status/</code><code>samlp:StatusMessage/</code>.</p>
<ul>
<li> <a href="file:///D:/Projekte/svn/moa-id/moa-idspss/id/server/doc/cs-sstc-schema-protocol-01.xsd">SAML 1.0 Protocol Schema</a> <br>
</li>
<li> <a href="file:///D:/Projekte/svn/moa-id/moa-idspss/id/server/doc/cs-sstc-schema-assertion-01.xsd">SAML 1.0 Assertion Schema</a></li>
</ul>
-<p>Der detaillierte Aufbau der &lt;saml:Assertion&gt; zu den Anmeldedaten ist in der <a href="file:///D:/Projekte/svn/moa-id/moa-idspss/id/server/doc/MOA_ID_1.4_20070306.pdf">Spezifikation MOA-ID 1.4</a> beschrieben. </p>
+<p>Der detaillierte Aufbau der &lt;saml:Assertion&gt; zu den Anmeldedaten ist in der <a href="./../spec/MOA_ID_1.4_20070802.pdf">Spezifikation MOA-ID 1.4</a> beschrieben.</p>
<h1><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h1>
<table class="fixedWidth" border="1" cellpadding="2">
<tbody>
@@ -1135,6 +1492,10 @@ MOA-ID-AUTH liefert als Antwort einen &lt;samlp:Response&gt;. Die Anmeldedaten
<td><a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/">http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/</a></td>
</tr>
<tr>
+ <td>Online-Vollmachten Spezifikation </td>
+ <td><a href="http://reference.e-government.gv.at/AG-II-Architektur-mis-1-1-0.2890.0.html">http://reference.e-government.gv.at/AG-II-Architektur-mis-1-1-0.2890.0.html</a></td>
+ </tr>
+ <tr>
<td>PVP 2.1 S-Profil Spezifikation</td>
<td><a href="http://reference.e-government.gv.at/uploads/media/PVP2-S-Profil_2_0_0_a-2011-08-31.pdf">http://reference.e-government.gv.at/uploads/media/PVP2-S-Profil_2_0_0_a-2011-08-31.pdf</a></td>
</tr>