diff options
Diffstat (limited to 'id/server/doc/handbook')
| -rw-r--r-- | id/server/doc/handbook/additional/additional.html | 58 | ||||
| -rw-r--r-- | id/server/doc/handbook/config/config.html | 48 | ||||
| -rw-r--r-- | id/server/doc/handbook/index.html | 2 | ||||
| -rw-r--r-- | id/server/doc/handbook/interfederation/interfederation.html | 8 |
4 files changed, 110 insertions, 6 deletions
diff --git a/id/server/doc/handbook/additional/additional.html b/id/server/doc/handbook/additional/additional.html index 97c7794cf..fb4e76733 100644 --- a/id/server/doc/handbook/additional/additional.html +++ b/id/server/doc/handbook/additional/additional.html @@ -30,6 +30,7 @@ <li><a href="#statisticdata">Logging von Statistikdaten</a></li> </ol> </li> + <li><a href="#networkconnections">Benötigte Netzwerkverbindungen (incoming / outgoing)</a></li> </ol> <hr/> <h1><a name="allgemeines"></a>1 Datenmanagement</h1> @@ -191,6 +192,63 @@ <td width="757" valign="top"><p>Fehlermeldung in textueller Form (max. 255 Zeichen lang)</p></td> </tr> </table> +<p> </p> +<h1><a name="networkconnections" id="networkconnections"></a>2 Benötigte Netzwerkverbindungen (incoming / outgoing)</h1> +<p>Für die Betrieb des Modules MOA-ID-Auth werden Netzwerkverbindungen zu externen Service benötigt. Die nachfolgende Tabelle gibt eine Aufstellung der benötigten Verbindungen und eine kurze Beschreibung über deren Funktion.</p> +<table border="1" cellpadding="0" cellspacing="0"> + <tr> + <td width="105" height="34" valign="middle"><strong>Service</strong></td> + <td width="275" valign="middle"><strong>URL</strong></td> + <td width="63" valign="middle"><strong>Port</strong></td> + <td width="87" valign="middle"><strong>Richtung</strong></td> + <td width="702" valign="middle"><strong>Beschreibung</strong></td> + </tr> + <tr> + <td valign="middle"><p>MOA-ID-Auth</p></td> + <td align="center" valign="middle">*</td> + <td align="center" valign="middle">80, 443</td> + <td align="center" valign="middle">eingehend</td> + <td valign="middle"><p>Front-Channel und Back-Channel Verbinding zum IDP</p></td> + </tr> + <tr> + <td valign="middle"><p>MOA-ID-Auth</p></td> + <td align="center" valign="middle">*</td> + <td align="center" valign="middle">80, 443</td> + <td align="center" valign="middle">ausgehend</td> + <td valign="middle">Abholen von Template oder PVP 2.1 Metadaten</td> + </tr> + <tr> + <td height="26" valign="middle">LDAP</td> + <td align="center" valign="middle">*</td> + <td align="center" valign="middle">389, 636</td> + <td align="center" valign="middle">ausgehend</td> + <td valign="middle">Zertifikatsprüfung</td> + </tr> + <tr> + <td width="105" valign="middle"><p>OSCP / CRL</p></td> + <td width="275" align="center" valign="middle">*</td> + <td width="63" align="center" valign="middle">80, 443</td> + <td width="87" align="center" valign="middle">ausgehend</td> + <td width="702" valign="middle"><p>Zertifikatsprüfung</p></td> + </tr> + <tr> + <td valign="middle">OVS</td> + <td align="center" valign="middle"><p><strong>Prod:</strong> <a href="https://vollmachten.stammzahlenregister.gv.at/mis/">vollmachten.stammzahlenregister.gv.at</a><br> + <strong>Test:</strong> <a href="https://vollmachten.egiz.gv.at/mis-test/">vollmachten.egiz.gv.at</a></p></td> + <td align="center" valign="middle">443</td> + <td align="center" valign="middle">ausgehend</td> + <td valign="middle">Online-Vollmachten Service (MIS) via SOAP Service</td> + </tr> + <tr> + <td height="46" valign="middle">SZR-Gateway</td> + <td align="left" valign="middle"><strong>Prod: </strong><a href="https://gateway.stammzahlenregister.gv.at/">gateway.stammzahlenregister.gv.at</a><br> + <strong>Test:</strong> <a href="http://szrgw.egiz.gv.at/">szrgw.egiz.gv.at</a></td> + <td align="center" valign="middle">443</td> + <td align="center" valign="middle">ausgehend</td> + <td valign="middle">Stammzahlenregister Gateway via SOAP Service</td> + </tr> +</table> +<p> </p> <p align="left"> </p> <p> </p> <p> </p> diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 24e80c588..2d2709bcc 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -129,6 +129,7 @@ <li><a href="#konfigurationsparameter_oa_additional">Zusätzliche allgemeine Einstellungen</a> <ol> <li><a href="#konfigurationsparameter_oa_additional_formular">Login-Fenster Konfiguration</a></li> + <li><a href="#konfigurationsparameter_oa_additional_encbpk">Fremd-bPK Konfiguration</a></li> </ol> </li> </ol> @@ -217,6 +218,12 @@ <td>TrustedCACertificates enthält das Verzeichnis (relativ zur MOA-ID-Auth Basiskonfigurationsdatei), das jene Zertifikate enthält, die als vertrauenswürdig betrachtet werden. Im Zuge der Überprüfung der TLS-Serverzertifikate wird die Zertifikatspfaderstellung an einem dieser Zertifikate beendet. Dieses Verzeichnis wird zur Prüfung der SSL Serverzertifikate beim Download von PVP 2.1 Metadaten verwendet.</td> </tr> <tr> + <td>general.moaconfig.key</td> + <td>ConfigurationEncryptionKey</td> + <td><p>Passwort zum Verschlüsseln von Konfigurationsteilen welche in der Datenbank abgelegt werden. Hierbei kann jede beliebige Zeichenfolge aus Buchstaben, Zahlen und Sonderzeichen verwendet werden.</p> + <p><strong>Hinweis:</strong> Dieses Passwort muss identisch zu dem im <a href="#basisconfig_moa_id_auth_param_general">Modul MOA-ID-Auth</a> hinterlegten Passwort sein.</p></td> + </tr> + <tr> <td>general.userrequests.cleanup.delay</td> <td>18</td> <td>Innerhalb dieses Zeitraums muss ein neuer Benutzer die im Benutzerprofil hinterlegte eMail Adresse validieren. </td> @@ -571,6 +578,12 @@ https://<host>:<port>/moa-id-configuration/secure/usermanagementInit <td>Passwort zum Verschlüsseln von personenbezogenen Session Daten die während eines Anmeldevorgangs und für Single Sign-On in der Datenbank abgelegt werden. Hierbei kann jede beliebige Zeichenfolge aus Buchstaben, Zahlen und Sonderzeichen verwendet werden.</td> </tr> <tr> + <td>configuration.moaconfig.key</td> + <td>ConfigurationEncryptionKey</td> + <td><p>Passwort zum Verschlüsseln von Konfigurationsteilen welche in der Datenbank abgelegt werden. Hierbei kann jede beliebige Zeichenfolge aus Buchstaben, Zahlen und Sonderzeichen verwendet werden.</p> + <p><strong>Hinweis:</strong> Dieses Passwort muss identisch zu dem im Modul <a href="#moa_id_config_parameters_generel">MOA-ID-Configuration</a> hinterlegten Passwort sein.</p></td> + </tr> + <tr> <td>configuration.monitoring.active</td> <td>true / false</td> <td>Aktiviert das Modul für internes Monitoring / Testing.</td> @@ -1037,6 +1050,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet</pre> <h3><a name="konfigurationsparameter_allgemein_sl-templates" id="konfigurationsparameter_allgemein_bku2"></a>3.1.3 Security-Layer Request Templates</h3> <p>Security-Layer (SL) Templates dienen der Kommunikation mit der gewählten Bürgerkartenumgebung. Die hier hinterlegen SL-Templates werden für die Kommunikation mit der jeweiligen BKU verwendet. Nähere Details zum Aufbau dieser SL-Templates finden Sie im <a href="#import_template_sltemplate">Kapitel 4.3</a>. </p> <p>Die Lage der Templates wird in Form einer URL beschrieben, wobei sowohl lokale Referenzen als der Bezug über http(s) möglich sind. Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die MOA-ID-Auth Basiskonfigurationsdatei befindet, interpretiert. Bei Templates die über das Protokoll https referenziert werden, muss vor dem Start des Tomcat ein Truststore angegeben werden, das die notwendigen vertrauenswürdigen Zertifikate enthält.</p> +<p><strong>Hinweis:</strong> Diese hier definierten Templates dienen als zusätzliche WhiteList für Templates welche im „StartAuthentication“ Request mit dem Parameter „template“ übergeben werden. Sollte im „StartAuthentication“ Request der Parameter „template“ fehlen, es wurde jedoch eine „bkuURL“ übergeben, dann wird für den Authentifizierungsvorgang ein bei der <a href="#konfigurationsparameter_oa_bku">Online Applikation konfiguriertes Tempalte</a> oder als Backup das erste Template in dieser Liste verwendet. Detailinformationen zum <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Request</a> finden Sie im Kapitel Protokolle.</p> <table width="1247" border="1"> <tr> <th width="89" scope="col">Name</th> @@ -1046,7 +1060,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet</pre> <tr> <td>Online BKU</td> <td><p>SLTemplates/template_onlineBKU.html</p></td> - <td>SL Template zur Kommunikation mit der Online-BKU</td> + <td><p>SL Template zur Kommunikation mit der Online-BKU.</p></td> </tr> <tr> <td>Handy BKU</td> @@ -2050,8 +2064,38 @@ Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Beda </table> <p> </p> <p><strong>Hinweis:</strong> Bei Verwendung einer online-applikationsspezifischen Bürgerkartenauswahl stehen alle Parameter die die Bürgerkartenauswahl betreffen nicht zur Verfügung.</p> -<p><strong>Hinweis:</strong> Bei Verwendung eines online-applikationsspezifischen Security-Layer-Request Templates stehen alle Parameter die das SL-Template betreffen nicht zur Verfügung.</p> +<p><strong>Hinweis:</strong> Bei Verwendung eines online-applikationsspezifischen Security-Layer-Request Templates stehen alle Parameter die das SL-Template betreffen nicht zur Verfügung.</p> +<h4><a name="konfigurationsparameter_oa_additional_encbpk" id="uebersicht_zentraledatei_aktualisierung31"></a>3.2.8.2 Fremd-bPK Konfiguration</h4> +<p>Dieser Konfigurationsparameter ermöglicht die Konfiguration eines Key Stores, welcher im Falle einer<a href="../interfederation/interfederation.html"> Anmeldung mittels Single Sign-On Interfederation</a> zur Entschlüsselung einer verschlüsselten Fremd-bPK verwendet werden soll. Hierfür sind folgende Konfigurationsparameter notwenig.</p> +<table width="1247" border="1"> + <tr> + <th width="272" scope="col">Name</th> + <th width="147" scope="col">Beispielwert</th> + <th width="806" scope="col">Beschreibung</th> + </tr> + <tr> + <td>KeyStore hochladen</td> + <td> </td> + <td>Dateiname des Java Keystore oder PKCS12 Keystore welcher den privaten Schlüssel zur Entschlüsselung von Fremd-bPKs beinhaltet.</td> + </tr> + <tr> + <td><span id="wwlbl_loadOA_BPKEncDecr_keyStorePassword">KeyStore Password</span></td> + <td>password</td> + <td>Passwort zum Keystore</td> + </tr> + <tr> + <td><span id="wwlbl_loadOA_BPKEncDecr_keyAlias">Schlüsselname</span></td> + <td>pvp_metadata</td> + <td>Name des Schlüssels der zum Entschlüsseln der Fremd-bPK verwendet werden soll</td> + </tr> + <tr> + <td><span id="wwlbl_loadOA_BPKEncDecr_keyPassword">Schlüsselpassword</span></td> + <td>password</td> + <td>Passwort des Schlüssels der zum Entschlüsseln der Fremd-bPK verwendet werden soll</td> + </tr> +</table> <p> </p> +<p><strong>Hinweis:</strong> Diese Konfiguration ist jedoch nur nötig wenn die für das Modul MOA-ID-Auth Interfederation verwendet und von weiteren Identity Providern in der Federation Fremd-bPKs übermittelt werden welche bereits im Modul MOA-ID-Auth entschlüsselt werden sollen (z.B. bei Verwendung von SAML 1 als Authentifizierungsprotokoll). Bei Verwendung von PVP 2.1 und OpenID Connect kann die Fremd-bPK auch direkt an die Online Applikation weitergeben werden wodurch eine Entschlüsselung auf Seiten des Modules MOA-ID-Auth nicht zwingend notwendig ist.</p> <h2><a name="import_export" id="uebersicht_zentraledatei_aktualisierung4"></a>3.3 Import / Export</h2> <p>Über diese Funktionalität besteht die Möglichkeit eine bestehende MOA-ID 1.5.1 Konfiguration in MOA-ID 2.0 zu importieren. Zusätzlich besteht die Möglichkeit eine MOA-ID-Auth 2.0 diff --git a/id/server/doc/handbook/index.html b/id/server/doc/handbook/index.html index acab7517a..892a82484 100644 --- a/id/server/doc/handbook/index.html +++ b/id/server/doc/handbook/index.html @@ -15,7 +15,7 @@ </table> <hr/> <p class="title">MOA-ID (Identifikation) </p> - <p class="subtitle">Übersicht zur Dokumentation der Version 2.1.0 </p> + <p class="subtitle">Übersicht zur Dokumentation der Version 2.1.1 </p> <hr/> <dl> <dt><a href="./intro/intro.html">Einführung</a></dt> diff --git a/id/server/doc/handbook/interfederation/interfederation.html b/id/server/doc/handbook/interfederation/interfederation.html index d30c93008..bd97061ab 100644 --- a/id/server/doc/handbook/interfederation/interfederation.html +++ b/id/server/doc/handbook/interfederation/interfederation.html @@ -73,7 +73,8 @@ <li>MOA-ID 1 validiert den Authentifizierungsrequest und generiert eine Assertion für MOA-ID 2 welche Session-Token für die Benutzerin oder den Benutzer enthält. In diesem Schritt werden jedoch noch keine personenbezogenen Daten ausgetauscht.</li> <li>Die Assertion wird an MOA-ID 2 zurückgesendet.</li> <li>MOA-ID 2 validiert die Assertion und extrahiert das Session-Token. <br> - <strong>Hinweis:</strong> Sollte die Validierung der Assertion fehlschlagen oder keine aktive SSO Session bei MOA-ID 1 existieren wird eine lokale Authentifizierung der Benutzerin oder des Benutzers mittels Bürgerkarte oder Handy-Signatur durchgeführt.</li> + <strong>Hinweis:</strong> Sollte die Validierung der Assertion fehlschlagen oder keine aktive SSO Session bei MOA-ID 1 existieren wird eine lokale Authentifizierung der Benutzerin oder des Benutzers mittels Bürgerkarte oder Handy-Signatur durchgeführt.<br> + <strong>Hinweis:</strong> Sollte die Assertion bereits alle notwenigen Anmeldeinformationen beinhalten wird Schritt 13 und 14 übersprungen. </li> <li>MOA-ID 2 generiert einen Attribut Request mit den von Online Applikation 2 angeforderten Attributen und sendet diesen über SOAP Binding an MOA-ID 1.</li> <li>MOA-ID 1 generiert eine Assertion mit den angeforderten Attributen für Online Applikation 2 und sendet diese an MOA-ID 2.</li> <li>MOA-ID 2 generiert eine Assertion für Online Applikation 2</li> @@ -154,8 +155,9 @@ <tr> <td><span id="wwlbl_loadIDP_moaIDP_queryURL">AttributQuery Service URL</span></td> <td>https://demo.egiz.gv.at/moa-id-auth/pvp2/attributequery</td> - <td align="center"> </td> - <td><p>URL auf das Attribute-Query Service des konfigurierten IDP. Über dieses WebService werden die Authentifizierungsdaten vom IDP abgeholt.</p></td> + <td align="center">X</td> + <td><p>URL auf das Attribute-Query Service des konfigurierten IDP. Über dieses WebService werden die Authentifizierungsdaten vom IDP abgeholt.</p> + <p><strong>Hinweis:</strong> Wenn kein Service konfiguriert ist müssen alle für den Anmeldevorgang benötigten Informationen bereits in der Assertion im Schritt 11 (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a>) übermittelt werden.</p></td> </tr> </table> <p> </p> |