diff options
Diffstat (limited to 'id/server/doc/handbook')
-rw-r--r-- | id/server/doc/handbook/config/config.html | 124 | ||||
-rw-r--r-- | id/server/doc/handbook/index.html | 2 | ||||
-rw-r--r-- | id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png | bin | 0 -> 42979 bytes | |||
-rw-r--r-- | id/server/doc/handbook/interfederation/interfederation.html | 90 |
4 files changed, 214 insertions, 2 deletions
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 2d2709bcc..9b4190035 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -74,6 +74,7 @@ </ol> </li> <li> <a href="#basisconfig_moa_id_auth_param_testing">Testing</a></li> + <li><a href="#basisconfig_moa_id_auth_szrclient">SZR Client für STORK <-> PVP Gateway Betrieb</a></li> </ol> </li> </ol> @@ -904,7 +905,130 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet</pre> <p><strong>Defaultwert:</strong> true</p></td> </tr> </table> + <h4><a name="basisconfig_moa_id_auth_szrclient" id="uebersicht_bekanntmachung16"></a>2.2.2.6 SZR Client für STORK <-> PVP Gateway Betrieb</h4> + <p>Die Konfiguration des Stammzahlenregister (SZR) Clients ist nur erforderlich wenn das Modul MOA-ID-Auth als STORK <-> PVP Gateway betrieben wird. Da in diesem Fall die Benutzerin oder der Benutzer über ein PVP Stammportal authentifiziert wird ist eine direkte Generierung der STORK eID während des Anmeldevorgangs nicht möglich. Somit erfolgt für diese Personen einen Stammzahlenregisterabfrage zur Bestimmung der STORK eID.</p> + <p>Für den in MOA-ID-Auth verwendeten SZR Client sind folgende Konfigurationsparameter erforderlich.</p> + <table width="1247" border="1"> + <tr> + <th width="281" scope="col">Name</th> + <th width="261" scope="col">Beispielwert</th> + <th width="683" scope="col">Beschreibung</th> + </tr> + <tr> + <td>service.egovutil.szr.test</td> + <td>false</td> + <td>Definiert ob das Produktivsystem oder das Testsystem des SZR Webservice verwendet werden soll</td> + </tr> + <tr> + <td>service.egovutil.szr.test.url</td> + <td> </td> + <td>URL auf das Test SZR Webservice</td> + </tr> + <tr> + <td>service.egovutil.szr.prod.url</td> + <td> </td> + <td>URL auf das produktive SZR Webservice</td> + </tr> + <tr> + <td>service.egovutil.szr.token.version</td> + <td>1.8</td> + <td><p>Verwendete PVP Version</p> + <p><strong>Hinweis: </strong>der Client implementiert die PVP Version 1.8</p></td> + </tr> + <tr> + <td>service.egovutil.szr.token.participantid</td> + <td> </td> + <td>Org-ID des Portalverbund-Teilnehmers bei dem der Benutzer registriert ist.</td> + </tr> + <tr> + <td>service.egovutil.szr.token.gvoudomain</td> + <td> </td> + <td>Organisations-Domäne des Benutzers</td> + </tr> + <tr> + <td>service.egovutil.szr.token.userid</td> + <td> </td> + <td>UserID, mit dem der Benutzer am Stammportal authentifiziert ist</td> + </tr> + <tr> + <td>service.egovutil.szr.token.cn</td> + <td> </td> + <td>Name des Benutzers oder des System-Principals in der Form Anwendung.Subsystem</td> + </tr> + <tr> + <td>service.egovutil.szr.token.gvouid</td> + <td> </td> + <td>Stammdienststelle: Eindeutige Kennung für die Organisation des Benutzers</td> + </tr> + <tr> + <td>service.egovutil.szr.token.ou</td> + <td> </td> + <td>Stammdienststelle: Verwaltungskennzeichen der mit gvouid bezeichneten Organisation</td> + </tr> + <tr> + <td>service.egovutil.szr.token.gvsecclass</td> + <td> </td> + <td>Sicherheitsklasse</td> + </tr> + <tr> + <td>service.egovutil.szr.token.gvfunction</td> + <td> </td> + <td>Entspricht Funktion in gvPersonenFunktion.</td> + </tr> + <tr> + <td>service.egovutil.szr.token.gvgid</td> + <td> </td> + <td>Globaler Identifier des Benutzers</td> + </tr> + <tr> + <td>service.egovutil.szr.roles</td> + <td>szr-bpk-abfrage,szr-stammzahl-abfrage</td> + <td><p>PVP Rolle für den Zugriff auf das SZR</p> + <p>Hinweis: mehrere Rollen werden mittels ',' getrennt. </p></td> + </tr> + <tr> + <td>service.egovutil.szr.ssl.keystore.file</td> + <td>keys/szr-key.p12</td> + <td>Dateiname des Java Keystore oder PKCS12 Keystore zur Authentifizierung mittels Client Zertifikat am SZR Webservice.</td> + </tr> + <tr> + <td>service.egovutil.szr.ssl.keystore.password</td> + <td>password</td> + <td>Passwort für den Keystore mit dem Client Zertifikat</td> + </tr> + <tr> + <td>service.egovutil.szr.ssl.keystore.type</td> + <td>PKCS12</td> + <td>Typ des Keystore mit dem Client Zertifikat (PKCS12 oder JKS)</td> + </tr> + <tr> + <td>service.egovutil.szr.ssl.truststore.file</td> + <td>keys/truststore.jks</td> + <td>Dateiname des Truststores zur Validierung von SSL Servicerzertifikaten</td> + </tr> + <tr> + <td>service.egovutil.szr.ssl.truststore.password</td> + <td>password</td> + <td>Passwort für den Truststore</td> + </tr> + <tr> + <td>service.egovutil.szr.ssl.truststore.type</td> + <td>JKS</td> + <td>Typ des TrustStore (PKCS12 oder JKS)</td> + </tr> + <tr> + <td>service.egovutil.szr.ssl.trustall</td> + <td>false</td> + <td>Deaktiviert die SSL Serverzertifikatsvalidierung</td> + </tr> + <tr> + <td>service.egovutil.szr.ssl.laxhostnameverification</td> + <td>false</td> + <td>Deaktiviert die Validierung des Hostname mit dem SSL Serverzertifikat</td> + </tr> + </table> <p> </p> + <p><strong>Hinweis:</strong> Detaillierte Informationen zu den einzelnen PVP spezifischen Konfigurationsparametern finden Sie in der entsprechenden PVP Spezifikation.</p> <h2><a name="uebersicht_logging" id="uebersicht_logging"></a>2.3 Konfiguration des Loggings</h2> <p>Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework für Logging-Information die Open Source Software <code>log4j</code>. Die Konfiguration der Logging-Information erfolgt nicht direkt durch die einzelnen Module, sondern über eine eigene Konfigurationsdatei, die der <span class="term">Java Virtual Machine</span> durch eine <span class="term">System Property </span> mitgeteilt wird. Der Name der <span class="term">System Property </span> lautet <code>log4j.configuration</code>; als Wert der <span class="term">System Property </span> ist eine URL anzugeben, die auf die <code>log4j</code>-Konfigurationsdatei verweist, z.B. </p> <pre>log4j.configuration=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-id/log4j.properties</pre> diff --git a/id/server/doc/handbook/index.html b/id/server/doc/handbook/index.html index 892a82484..c3b25b390 100644 --- a/id/server/doc/handbook/index.html +++ b/id/server/doc/handbook/index.html @@ -15,7 +15,7 @@ </table> <hr/> <p class="title">MOA-ID (Identifikation) </p> - <p class="subtitle">Übersicht zur Dokumentation der Version 2.1.1 </p> + <p class="subtitle">Übersicht zur Dokumentation der Version 2.1.2 </p> <hr/> <dl> <dt><a href="./intro/intro.html">Einführung</a></dt> diff --git a/id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png b/id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png Binary files differnew file mode 100644 index 000000000..dd5a52674 --- /dev/null +++ b/id/server/doc/handbook/interfederation/blockdiagramm_storkpvpgateway.png diff --git a/id/server/doc/handbook/interfederation/interfederation.html b/id/server/doc/handbook/interfederation/interfederation.html index bd97061ab..f52556e23 100644 --- a/id/server/doc/handbook/interfederation/interfederation.html +++ b/id/server/doc/handbook/interfederation/interfederation.html @@ -37,6 +37,7 @@ </ol> </li> <li><a href="#vidp">STORK VIDP Konfiguration</a></li> + <li><a href="#storkpvpgateway">STORK <-> PVP Gateway</a></li> </ol> <p> </p> <h1><a name="general" id="konfigurationsparameter_allgemein_bku7"></a>1 Allgemeines</h1> @@ -153,6 +154,18 @@ <td>Wenn eingehende SSO Intefederation erlaubt ist besteht zusätzlich die Möglichkeit diesen einmal verwendeten IDP an die Benutzersession zu binden. In diesem Fall können weitere SSO Authentifizierungen über diesen interfederation IDP auch ohne Angabe des IDP Identifiers (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a> oder <a href="#usage">Integration in bestehende Systeme</a>) durchgeführt werden.</td> </tr> <tr> + <td><span id="wwlbl_loadIDP_moaIDP_passiveRequest">Verwende SAML2 isPassive Attribut</span></td> + <td> </td> + <td align="center"> </td> + <td>Wird dieser Parameter aktiviert erfolgt der Authentifizierungsrequest im Schritt 9 (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a>) unter Verwendung des SAML 2 <em>isPassiv</em> Flags. Wenn die Benutzerin oder der Benutzer keine aktive SSO Session an diesem IDP besitzt wird ein Fehler returniert und KEINE Authentifizierung an diesem IDP durchgeführt. </td> + </tr> + <tr> + <td><span id="wwlbl_loadIDP_moaIDP_localAuthOnError">Im Fehlerfall Authentifizierung lokal durchführen</span></td> + <td> </td> + <td align="center"> </td> + <td><p>Wird dieser Parameter aktiviert erfolgt im Falle eines returnierten Fehlers im Schritt 11 (siehe <a href="#sequenzediagramm">Sequenzdiagramm</a>) keine lokale Authentifizierung und dem Service Provider wird eine Fehlermeldung returniert. </p></td> + </tr> + <tr> <td><span id="wwlbl_loadIDP_moaIDP_queryURL">AttributQuery Service URL</span></td> <td>https://demo.egiz.gv.at/moa-id-auth/pvp2/attributequery</td> <td align="center">X</td> @@ -269,6 +282,14 @@ <td>StorkAttributeRequestProvider</td> <td>Allgemeines Plugin, wird verwendet für die Restfälle.</td> </tr> + <tr> + <td>PVPAuthenticationProvider</td> + <td><p>Dieser Provider dient zur Authentifizierung des Benutzers über den Portalverbund der österreichischen Behörden. Wird ein zu diesem Provider konfiguriertes Attribut angefragt erfolgt die Authentifizerung des Benutzers NICHT am VIDP sondern in der nationalen Infrastruktur, wobei die Anmeldedaten über den VIDP an den Service Provider weitergereicht werden. Als URL ist der Link auf den nationalen <a href="#storkpvpgateway">STORK<->PVP Gateway</a> zu hinterlegen.</p> + <p><strong>Hinweis:</strong> Aktuell fordert folgende Attribute eine nationale Authentifizierung: </p> + <ul> + <li><em>ECApplicationRole</em></li> + </ul></td> + </tr> </table> <p> </p> <p>Beispiel eines Eintrages für Attributprovider:</p> @@ -283,8 +304,75 @@ <td>http://mis.testvidp.at/moa-id-auth/stork2/MISProvider</td> <td>mandateContent,<span class="term">attribut1</span>,<span class="term">attribut2</span></td> </tr> +</table></pre> +<p> </p> +<h1><a name="storkpvpgateway" id="konfigurationsparameter_allgemein_bku10"></a>5 STORK <-> PVP Gateway</h1> +<p>Das Modul MOA-ID-Auth kann auch als Gateway zwischen dem Portalverbund der österreichischen Behörden und der STORK Infrastruktur betrieben werden. Diese Konfiguration konfiguriert einen Gateway welcher zur Authentifizierung österreichischer Benutzerinnen oder Benutzer im Falle einer STORK Anmeldung mit Hilfe der österreichischen PVP Infrastruktur dient. Der Einsprung zum Gateway erfolgt über den <em>PVPAuthenticationProvider</em> in der <a href="#vidp">VIDP Konfiguration</a>.</p> +<p>Die nachstehende Grafik skizziert den Prozessfluss eines solchen Anmeldevorgangs.</p> +<p><img src="blockdiagramm_storkpvpgateway.png" width="1000" height="734" alt="Blockdiagramm STORK-PVP Gateway"></p> +<ol> + <li>Eine österreichische Benutzerin oder ein österreichischer Benutzer möchte sich an einer europäischen Online Applikation (Applikation 1) anmelden.</li> + <li>Die Benutzerin oder der Benutzer wird an den entsprechenden VIDP unter Verwendung des STORK Protokolls zur Authentifizierung weitergeleitet. Für den Fall das spezielle Attribute durch die Applikation angefordert wurden (z.B. <em>ECApplicationRole</em>) kann die Authentifizierung nicht am VIDP vorgenommen werden. In diesem Fall erfolgt eine Weiterleitung an den nationalen STORK-PVP Gateway (siehe <a href="#vidp">VIDP Konfiguration</a>).</li> + <li>Die Benutzerin oder der Benutzer wird an den zentralen STORK-PVP Gateway weitergeleitet. Der STORK-PVP Gateway generiert einen PVP Authentifizierungsrequest und sendet diesen an das im Gateway konfigurierte Stamm- oder Anwendungsportal. Hierfür muss das Stamm- oder Anwendungsportal als <a href="#config">MOA-ID IDP</a> konfiguriert sein.</li> + <li>Die Benutzerin oder der Benutzer wird an das jeweilige Stamm- oder Anwendungsportal weitergeleitet wo die eigentliche Authentifizierung erfolgt. Nach erfolgreicher Authentifizierung werden PVP spezifische Authentifizierungsdaten generiert.</li> + <li>Diese PVP spezifischen Authentifizierungsdaten werden an den STORK-PVP Gateway übertragen (PVP Assertion). Der Gateway validiert die Assertion und generiert eine STORK protokollspezifsche Assertion inkl. Signatur aus den PVP Authentifizierungsdaten (Mapping aller Attribute und Benutzerrollen). Sollte eine direkte Generierung der STORK eID nicht möglich sein wird diese an Stammzahlenregister (SZR) abgefragt.</li> + <li>Optional: Abfrage der STORK eID am Stammzahlenregister.</li> + <li>Die STORK Assertion wird vom Gateway an den VIDP übertragen und am VIDP validiert. Anschließend wird STORK Assertion für die Applikation 1 generiert und durch den VIDP signiert.</li> + <li>Die STORK Assertion wird an die Applikation 1 übermittelt. Nach gültiger Validierung ist die Benutzerin oder der Benutzer an Applikation 1 authentifiziert.</li> +</ol> +<p> </p> +<p>Die Konfiguration eines STORK-PVP Gateways besteht aus folgenden Elementen.</p> +<table width="1199" border="1"> + <tr> + <th width="153" scope="col">Name</th> + <th width="204" scope="col">Beispielwert</th> + <th width="57" scope="col">Optional</th> + <th width="757" scope="col">Beschreibung</th> + </tr> + <tr> + <td>Online-Applikation ist aktiviert</td> + <td> </td> + <td align="center"> </td> + <td>Aktiviert oder deaktiviert den Gatewy. Es können nur aktive Gatewaykonfigurationen verwendet werden.</td> + </tr> + <tr> + <td><p>Eindeutiger Identifikator</p></td> + <td>https://vidp.egiz.gv.at/moa-id-auth/</td> + <td align="center"> </td> + <td><p>Dieser Parameter dient als Schlüssel zum Auffinden der Gateway Konfigurationsparameter. Hierfür ist ein eindeutiger Identifikator für die VIDP Instanz erforderlich, welcher diesen Gateway nutzen möchte. Dieser eindeutige Identifikator muss mindestens dem URL-Präfix der nach außen sichtbaren Domäne des VIDP entsprechen</p></td> + </tr> + <tr> + <td><p>Name der <br> + Online-Applikation</p></td> + <td>IT STORK-PVP Gateway</td> + <td align="center"> </td> + <td>Hier muss ein benutzerfreundlicher Name für den Gateway angegeben werden. </td> + </tr> + <tr> + <td>Privatwirtschaftliche Applikation</td> + <td> </td> + <td align="center"> </td> + <td><p>Definiert ob der VIDP, welcher den Gateway verwendet dem öffentlichen Bereich oder dem privatwirtschaftlichen Bereich (Business Service) zugeordnet ist.</p> + <p><strong>Hinweis</strong>: im STORK Kontext immer privatwirtschaftlich. </p></td> + </tr> </table> -</pre> +<p> </p> +<table width="1199" border="1"> + <tr> + <th width="153" scope="col">Name</th> + <th width="204" scope="col">Beispielwert</th> + <th width="57" scope="col">Optional</th> + <th width="757" scope="col">Beschreibung</th> + </tr> + <tr> + <td><span id="wwlbl_loadIDP_pVPGateway_entityID">EntityID des PVP Portals:</span></td> + <td> </td> + <td align="center"> </td> + <td><p>Dieser Parameter definiert die EntityID des Stamm- oder Anwendungsportals an welches die Benutzerin oder der Benutzer zur Authentifizierung weitergeleitet werden soll. </p> + <p><strong>Hinweis:</strong> In der Interfederation Konfiguration muss ein MOA-ID IDP mit der entsprechenden EntityID konfiguriert sein.</p></td> + </tr> +</table> +<p> </p> <p> </p> <h1><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h1> <table class="fixedWidth" border="1" cellpadding="2"> |