aboutsummaryrefslogtreecommitdiff
path: root/id/server/doc/moa_id/id-admin_2.htm
diff options
context:
space:
mode:
Diffstat (limited to 'id/server/doc/moa_id/id-admin_2.htm')
-rw-r--r--id/server/doc/moa_id/id-admin_2.htm1675
1 files changed, 603 insertions, 1072 deletions
diff --git a/id/server/doc/moa_id/id-admin_2.htm b/id/server/doc/moa_id/id-admin_2.htm
index 8db966279..286e9aee1 100644
--- a/id/server/doc/moa_id/id-admin_2.htm
+++ b/id/server/doc/moa_id/id-admin_2.htm
@@ -2,168 +2,74 @@
<head>
<title>MOA ID-Administration</title>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
- <meta content="heinz.rosenkranz@brz.gv.at" name="author"/>
-
-<style type="text/css">
- body { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; }
- td { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; }
- th { font-family:"Verdana", "Arial"; font-size:10pt; font-weight:bold; color:#d8d8d8; background:#505050}
- li { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px }
- ul { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; margin-top:3px }
- tt { font-size:9pt; color:#505060; }
- #titel { font-family:"Verdana", "Arial"; font-size:18pt; color:#505060; }
- #subtitel { font-family:"Verdana", "Arial"; font-size:12pt; color:#505060; font-weight:bold; }
- #slogan { font-family:"Verdana", "Arial"; font-size:8pt; color:#808090; text-align:justify; width:160px }
- #block { font-family:"Verdana", "Arial"; font-size:10pt; color:#505060; text-align:justify }
- #klein { font-family:"Verdana", "Arial"; font-size:9pt; color:#505060; margin-top:3px }
- #info { font-family:"Verdana", "Arial"; font-size:8pt; color:#505060; padding:3px; border:solid 1px #c0c0c0 }
- #infolist { font-family:"Verdana", "Arial"; font-size:8pt; color:#505060; }
- a:link {color:#000090}
- a:visited {color:#000090}
- a:hover {color:#c03030}
- a {text-decoration: none}
-</style>
-
-<script language="JavaScript">
-<!--
-function goWin(url) {
- Fenster=window.open(url,"smallWin","toolbar=0,location=0,directories=0,status=0,menubar=0,resizable=yes,scrollbars=yes,width=500,height=480,top=20,screenY=0,left=20,screenX=0");
- window.setTimeout("showWin()",300);
-}
-function showWin() { Fenster.focus(); }
-// -->
-</script>
+ <link rel="stylesheet" href="./common/MOA.css" type="text/css">
</head>
-<body bgcolor="#FFFFFF" >
-<div style="width:650px">
-
-<!-- Projekt-Logo -->
-<div style="height:42px; font-size:16pt; color:#b0b8c0; background:#003050">
-&#160;Module f&uuml;r Online-Applikationen
-</div>
-<div style="margin-left:8px; margin-top:3px; font-size:8pt; color:#707070; ">
-<!-- Development Center der BRZ GmbH, A-Trust und IAIK Graz -->&#160;
-</div>
-<div style="margin-top:-65px; text-align:right; font-size:8pt; font-weight:bold; color:#d04040;" >
-Projekt <span style="font-size:48pt; ">moa</span>&#160;
-</div>
-<br />
-
-<!-- First Section with Navigation -->
-<table width="650" border="0" cellpadding="10" cellspacing="0">
-<tr>
-<td width="170" valign="top">
-<div style="font-weight:bold; margin-top:12px">MOA-ID</div><br />
-<div id="klein"><a href="id-admin.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
- <b> &uuml;bersicht</b></a></div>
-<div id="klein"><a href="id-admin_1.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
- <b> Basis-Installation</b></a></div>
-<div id="klein"><img src="../moa_images/select.gif" border="0" width="13" height="14" />
- <b> Konfiguration </b></div>
-<div id="klein"><a href="id-admin_3.htm"><img src="../moa_images/idle.gif" border="0" width="13" height="14" />
- <b> Optionale<br />&#160; &#160;&#160;Komponenten</b></a></div>
-<br />
-<div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" />
- <b> Zur&uuml;ck</b></a></div>
-<br /><br />
-<div id="slogan">
-<a href="#moaid-konfiguration"><b>Konfiguration<br />von MOA-ID</b></a>
-<br /><br />
-<a href="examples/conf/MOA-ID-Configuration.xml" target="_new">Konfigurationsdatei</a>
-<br /><br />
-<b>Parameter-&uuml;bersicht</b><br />
-<a href="#ConnectionParameter">ConnectionParameter</a><br />
-<a href="#AuthComponent">AuthComponent</a><br />
-<a href="#BKUSelection" >&nbsp;&nbsp;BKUSelection</a><br />
-<a href="#SecurityLayer">&nbsp;&nbsp;SecurityLayer</a><br />
-<a href="#MOA-SP">&nbsp;&nbsp;MOA-SP</a><br />
-<a href="#IdentityLinkSigners">&nbsp;&nbsp;IdentityLinkSigners</a><br />
-<a href="#VerifyInfoboxesAuth">&nbsp;&nbsp;VerifyInfoboxes</a><br />
-<a href="#ForeignIdentitiesAuth">&nbsp;&nbsp;ForeignIdentities</a><br />
-<a href="#AuthComponent_OnlineMandates">&nbsp;&nbsp;OnlineMandates</a><br />
-<a href="#ProxyComponent">ProxyComponent</a><br />
-<a href="#OnlineApplication">OnlineApplication</a><br />
-<a href="#OnlineApplication/AuthComponent">&nbsp;&nbsp;AuthComponent</a><br />
-<a href="#OnlineApplication/ProxyComponent">&nbsp;&nbsp;ProxyComponent</a><br />
-<a href="#ChainingModes">ChainingModes</a><br />
-<a href="#TrustedCACertificates">TrustedCACertificates</a><br />
-<a href="#GenericConfiguration">GenericConfiguration</a><br />
-<a href="#TrustedBKUs">TrustedBKUs</a><br />
-<a href="#TrustedTemplateURLs">TrustedTemplateURLs</a><br />
-<br />
-<a href="#oa-config"><b>Konfiguration<br />der Online-Applikation</b></a><br />
-<br />
-<b>Parameter-&uuml;bersicht</b><br />
-<a href="#LoginType">LoginType</a><br />
-<a href="#ParamAuth">ParamAuth</a><br />
-<a href="#Parameter">&nbsp;&nbsp;ParamAuth/Parameter</a><br />
-<a href="#BasicAuth">BasicAuth</a><br />
-<a href="#HeaderAuth">HeaderAuth</a><br />
-<a href="#Header">&nbsp;&nbsp;HeaderAuth/Header</a><br />
-<br />
-<a href="#sp-config"><b>Konfiguration<br />von MOA-SP</b></a><br />
-<br />
-<a href="#verifytransformsInfoProfile">VerifyTransformsInfoProfile</a><br />
-<a href="#trustProfile">TrustProfile</a><br />
-<a href="#certstore">Certstore</a><br />
-<br />
-<a href="#online-config"><b>&auml;nderung der Konfig. <br />w&auml;hrend des Betriebs</b></a><br />
-<br/>
-<a href="#errorpages"><b>&Auml;ndern der Default-Errorpages</b></a><br />
-<br/>
-<a href="#security"><b>Tomcat Security Manager </b></a><br />
-
-<br />
-</div>
+<body link="#990000">
-</td>
-
- <td valign="top">
- <div id="titel">Konfiguration von MOA ID v.1.5</div>
- <div id="moaid-konfiguration" />
- <p id="subtitel">Konfiguration von MOA ID v.1.5</p>
- <p id="block"> Die Konfiguration von MOA ID wird mittels einer XML-basierten
- Konfigurationsdatei, die dem Schema
- <a href="../MOA-ID-Configuration-1.5.1.xsd" target="_new">MOA-ID-Configuration-1.5.1.xsd</a> entspricht, durchgef&uuml;hrt.
- <p /> Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment
+<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
+ <tr>
+ <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
+ <td align="center" class="logoTitle">Dokumentation</td>
+ <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
+ </tr>
+</table>
+ <hr/>
+ <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
+<p class="subtitle">Konfiguration</p>
+<h1>Inhalt</h1>
+ <ol>
+ <li>
+ <p><a href="#moaid-konfiguration">Konfiguration von MOA-ID</a></p>
+ </li>
+ <li>
+ <p><a href="#oa-config">Konfiguration der Online-Applikation</a></p>
+ </li>
+ <li>
+ <p><a href="#sp-config">Konfiguration von MOA-SP</a></p>
+ </li>
+ <li>
+ <p><a href="#online-config">&Auml;nderung der Konfiguration w&auml;hrend des Betriebs</a></p>
+ </li>
+ <li>
+ <p><a href="#errorpages">&Auml;ndern der Default Errorpages</a></p>
+ </li>
+ <li>
+ <p><a href="#security">Tomcat Security Manager</a></p>
+ </li>
+</ol>
+ <hr/>
+<h1><a name="moaid-konfiguration" id="moaid-konfiguration">1 Konfiguration von MOA-ID</a></h1>
+<p >Die Konfiguration von MOA ID wird mittels einer XML-basierten
+ Konfigurationsdatei, die dem Schema <a href="../MOA-ID-Configuration-1.5.1.xsd" target="_new">MOA-ID-Configuration-1.5.1.xsd</a> entspricht, durchgef&uuml;hrt.
+<p />Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment
der Web-Applikation in Tomcat</a> beschrieben.
- <p>Enth&auml;lt die Konfigurationsdatei relative Pfadangaben, werden
- diese relativ zum Verzeichnis in dem sich die MOA-ID Konfigurationsdatei
- befindet interpretiert.<br>
- </p>
- <div id="ConnectionParameter" />
- <p id="block"> <b>ConnectionParameter</b> <br />
+<p>Enth&auml;lt die Konfigurationsdatei relative Pfadangaben, werden
+ diese relativ zum Verzeichnis in dem sich die MOA-ID Konfigurationsdatei
+ befindet interpretiert.<br>
+</p>
+<p id="ConnectionParameter"> <b>ConnectionParameter</b> <br />
Das Element <tt>ConnectionParameter</tt> enth&auml;lt Parameter,
die MOA-ID f&uuml;r den Aufbau von Verbindungen zu anderen Komponenten
ben&ouml;tigt. Dieses Element tritt mehrfach in der Konfigurationsdatei
- auf und wird daher vorab detailliert beschrieben. <br />
- <br />
- Das Attribut <tt>URL</tt> enth&auml;lt die URL der Komponente zu
- der die Verbindung aufgebaut werden soll. Wird das Schema <tt>https</tt>
- verwendet, k&ouml;nnen die Kind-Elemente <tt>AcceptedServerCertificates</tt>
- und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt>
- verwendet m&uuml;ssen keine Kind-Elemente angegeben werden bzw.
- werden diese nicht ausgewertet. Andere Schemas werden nicht unterst&uuml;tzt.
- <br />
- <br />
- Wird die Verbindung &uuml;ber TLS aufgebaut und erfordert der TLS-Server
- eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element
- <tt>ClientKeyStore</tt> spezifiziert werden. Im Element <tt>ClientKeyStore</tt>
- wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei)
+ auf und wird daher vorab detailliert beschrieben.
+<p>Das Attribut <tt>URL</tt> enth&auml;lt die URL der Komponente zu
+ der die Verbindung aufgebaut werden soll. Wird das Schema <tt>https</tt> verwendet, k&ouml;nnen die Kind-Elemente <tt>AcceptedServerCertificates</tt> und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt> verwendet m&uuml;ssen keine Kind-Elemente angegeben werden bzw.
+ werden diese nicht ausgewertet. Andere Schemas werden nicht unterst&uuml;tzt.
+<p>Wird die Verbindung &uuml;ber TLS aufgebaut und erfordert der TLS-Server
+ eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element <tt>ClientKeyStore</tt> spezifiziert werden. Im Element <tt>ClientKeyStore</tt> wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei)
angegeben. Diesem Keystore wird der private Schl&uuml;ssel f&uuml;r
die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen
- des privaten Schl&uuml;ssels wird im Attribut <tt>ClientKeyStore/@password</tt>
- konfiguriert.<br />
+ des privaten Schl&uuml;ssels wird im Attribut <tt>ClientKeyStore/@password</tt> konfiguriert.<br />
Aufgrund der Tatsache, dass starke Verschl&uuml;sselung eine Voraussetzung
f&uuml;r MOA-ID darstellt, werden clientseitig nur die folgenden
- Cipher Suites unterst&uuml;tzt:<br/>
- <ul>
- <li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li>
+ Cipher Suites unterst&uuml;tzt:
+<ul>
+ <li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li>
<li><tt>SSL_RSA_WITH_RC4_128_MD5</tt></li>
<li><tt>SSL_RSA_WITH_3DES_EDE_CBC_SHA</tt></li>
- </ul>
- Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname
+</ul>
+<p>Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname
(relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem
die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In
diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser
@@ -171,46 +77,37 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
zu den im Element <tt>&lt;TrustedCACertificates&gt;</tt> angegebenen
Zertifikaten erstellt werden kann. Falls dies nicht m&ouml;glich ist,
kommt es zu einem Fehlerfall.
- <p></p>
- <div id="AuthComponent" />
- <p id="block"> <b>AuthComponent</b> <br />
- <tt>AuthComponent</tt> enth&auml;lt Parameter, die nur die MOA-ID
- Authentisierungskomponente betreffen. Das Element ist optional
- und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID
- Authentisierungskomponente installiert wird. <br />
- <br />
- Das Element <tt>AuthComponent</tt> hat sechs Kind-Elemente:
- <ul>
- <li><tt>BKUSelection</tt> (optional)</li>
- <li><tt>Templates</tt> (optional)</li>
- <li><tt>SecurityLayer</tt></li>
- <li><tt>MOA-SP</tt></li>
- <li><tt>IdentityLinkSigners</tt></li>
- <li><tt>VerifyInfoboxes</tt> (optional ab Version 1.4)</li>
- <li><tt>ForeignIdentities</tt></li>
- <li><tt>OnlineMandates</tt></li>
- </ul>
-<p></p>
- <div id="BKUSelection" />
- <p id="block"> <b>AuthComponent/BKUSelection</b> <br />
- Das optionale Element <tt>BKUSelection</tt> enth&auml;lt Parameter
- zur Nutzung eines Auswahldienstes f&uuml;r eine B&uuml;rgerkartenumgebung
- (BKU). Wird das Element nicht angegeben, dann wird die lokale
- B&uuml;rgerkartenumgebung auf <tt>http://localhost:3495/http-security-layer-request</tt>
- verwendet. <br />
- <br />
- Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche
- Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterst&uuml;tzt
- die Werte <tt>HTMLComplete</tt> (vollst&auml;ndige HTML-Auswahl)
- und <tt>HTMLSelect</tt> (HTML-Code f&uuml;r Auswahl) [<a href="../bku-auswahl.20030408.pdf">"Auswahl
- von B&uuml;rgerkartenumgebungen"</a>, Arno Hollosi]. <br />
- <br />
- Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die
- Verbindung zum Auswahldienst (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>),
- jedoch kann das Kind-Element <tt>ClientKeyStore</tt> nicht angegeben
- werden. </p>
- <div id="AuthTemplates" />
- <p id="block"> <b>AuthComponent/Templates</b> <br />
+</p>
+<p id="AuthComponent"> <b>AuthComponent</b> <br />
+ <tt>AuthComponent</tt> enth&auml;lt Parameter, die nur die MOA-ID
+ Authentisierungskomponente betreffen. Das Element ist optional
+ und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID
+ Authentisierungskomponente installiert wird. Das Element <tt>AuthComponent</tt> hat sechs Kind-Elemente:
+ <ul>
+ <li><tt>BKUSelection</tt> (optional)</li>
+ <li><tt>Templates</tt> (optional)</li>
+ <li><tt>SecurityLayer</tt></li>
+ <li><tt>MOA-SP</tt></li>
+ <li><tt>IdentityLinkSigners</tt></li>
+ <li><tt>VerifyInfoboxes</tt> (optional ab Version 1.4)</li>
+ <li><tt>ForeignIdentities</tt></li>
+ <li><tt>OnlineMandates</tt></li>
+ </ul>
+<p id="BKUSelection"> <b>AuthComponent/BKUSelection</b> <br />
+ Das optionale Element <tt>BKUSelection</tt> enth&auml;lt Parameter
+ zur Nutzung eines Auswahldienstes f&uuml;r eine B&uuml;rgerkartenumgebung
+ (BKU). Wird das Element nicht angegeben, dann wird die lokale
+ B&uuml;rgerkartenumgebung auf <tt>http://localhost:3495/http-security-layer-request</tt> verwendet. </p>
+<p>Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche
+ Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterst&uuml;tzt
+ die Werte <tt>HTMLComplete</tt> (vollst&auml;ndige HTML-Auswahl)
+ und <tt>HTMLSelect</tt> (HTML-Code f&uuml;r Auswahl) [<a href="../bku-auswahl.20030408.pdf">"Auswahl
+ von B&uuml;rgerkartenumgebungen"</a>, Arno Hollosi]. </p>
+<p>Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die
+ Verbindung zum Auswahldienst (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>),
+ jedoch kann das Kind-Element <tt>ClientKeyStore</tt> nicht angegeben
+ werden. </p>
+<p id="AuthTemplates"> <b>AuthComponent/Templates</b> <br />
Das optionale Element <tt>Templates</tt> kann genau einmal vorkommen, um
das Aussehen der Seiten &quot;Auswahl der B&uuml;rgerkartenumgebung&quot; sowie
&quot;Anmeldung mit B&uuml;rgerkarte&quot; anzupassen. Des Weiteren k&ouml;nnen die Templates zur Anmeldung mit Online-Vollmachten angepasst werden. Die hier
@@ -218,8 +115,7 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
die in der aufrufenden URL (vgl. <a href="id-anwendung_1.htm" target="_new">Aufruf von MOA-ID-AUTH</a>)
&uuml;bergeben werden, haben jedoch Nachrang gegen&uuml;ber in
der Konfigurationsdatei f&uuml;r eine Online-Applikation individuell definierte (lokale)
- Templates (siehe <a href="#OnlineApplication/AuthComponent/Templates" target="_new">
- OnlineApplication/AuthComponent/Templates</a>).
+ Templates (siehe <a href="#OnlineApplication/AuthComponent/Templates" target="_new"> OnlineApplication/AuthComponent/Templates</a>).
Das hei&szlig;t, sind in der Konfigurationsddatei f&uuml;r eine Online-Applikation lokale
Templates definiert (Element <tt>OnlineApplication/AuthComponent/Templates</tt>), so werden
die als global spezifizierten Templates (<tt>AuthComponent/Templates</tt>) f&uuml;r diese
@@ -227,277 +123,190 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
verwendet. Templates in der aufrufenden URL werden demnach nur mehr dann
herangezogen, wenn in der Konfigurationsdatei weder globale (f&uuml;r alle
Online-Applikationen g&uuml;ltig) noch lokale (Templates je Online-Applikation)
- spezifiziert sind. Hinweis: Die Template zur Anmeldung mit Online-Vollmachten k&ouml;nnen nicht &uuml;ber die URL angegeben werden.<br>
- Das <tt>Templates</tt>-Element hat die zwei Kindelemente
- <tt>BKUSelectionTemplate</tt>und <tt>Template. </tt>Jedes dieser
+ spezifiziert sind. Hinweis: Die Template zur Anmeldung mit Online-Vollmachten k&ouml;nnen nicht &uuml;ber die URL angegeben werden.</p>
+<p>Das <tt>Templates</tt>-Element hat die zwei Kindelemente <tt>BKUSelectionTemplate</tt>und <tt>Template. </tt>Jedes dieser
zwei Elemente kann genau einmal vorkommen oder fehlen.
Das Kindelement <tt>BKUSelectionTemplate</tt> spezifiziert ein Template
zur Gestaltung der Seite &quot;Auswahl der B&uuml;rgerkartenumgebung&quot;,
w&auml;hrend das Kindelement <tt>Template</tt> die Seite
- &quot;Anmeldung mit B&uuml;rgerkarte&quot; referenziert. Dies beiden Elemente haben genau ein Attribut namens <tt>URL</tt>,
+ &quot;Anmeldung mit B&uuml;rgerkarte&quot; referenziert. Dies beiden Elemente haben genau ein Attribut namens <tt>URL</tt>,
das die Lage des Templates im Form einer URL beschreibt.
Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die
- MOA-ID Konfigurationsdatei befindet, interpretiert. Bei Templates die &uuml;ber das Protokoll https referenziert werden, muss vor dem Start des Tomcat ein Truststore angegeben werden, das die notwendigen vertrauensw&uuml;rdigen Zertifikate enth&auml;lt. Siehe dazu die Parameter in den vorbereiteten Startdateien <tt>startTomcat.bat</tt> und <tt>tomcat-start.sh</tt>. <br>
- Richtlinien zur Struktur der Templates k&ouml;nnen der
- MOA-ID-Spezifikation bzw. dem Abschnitt
- <a href="id-anwendung_1.htm" target="_new">Aufruf von MOA-ID-AUTH</a>
- dieses Handbuches entnommen werden.
+ MOA-ID Konfigurationsdatei befindet, interpretiert. Bei Templates die &uuml;ber das Protokoll https referenziert werden, muss vor dem Start des Tomcat ein Truststore angegeben werden, das die notwendigen vertrauensw&uuml;rdigen Zertifikate enth&auml;lt. Siehe dazu die Parameter in den vorbereiteten Startdateien <tt>startTomcat.bat</tt> und <tt>tomcat-start.sh</tt>. </p>
+<p>Richtlinien zur Struktur der Templates k&ouml;nnen der
+ MOA-ID-Spezifikation bzw. dem Abschnitt <a href="id-anwendung_1.htm" target="_new">Aufruf von MOA-ID-AUTH</a> dieses Handbuches entnommen werden. </p>
+<p id="SecurityLayer"> <b>AuthComponent/SecurityLayer</b> <br />
+ Das Element <tt>SecurityLayer</tt> enth&auml;lt Parameter
+ zur Nutzung des Security-Layers. </p>
+<p>Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine
+ Transformation, die f&uuml;r die Erstellung der Signatur des
+ AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt> des Security-Layers integriert werden muss. Mehrere unterschiedliche
+ Implementierungen des Security-Layer k&ouml;nnen durch die
+ Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterst&uuml;tzt
+ werden. </p>
+<p>Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf
+ eine Datei, die das globale Element <tt>TransformsInfo</tt> vom Typ <tt>TransformsInfo</tt> enth&auml;lt. Die Angabe erfolgt
+ relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser
+ Datei muss UTF-8 sein. </p>
+<p><a href="examples/TransformsInfoAuthBlockTable_DE.xml">Beispiel f&uuml;r
+ eine TransformsInfo-Datei</a></p>
+<p id="MOA-SP"> <b>AuthComponent/MOA-SP</b> <br />
+ Das Element <tt>MOA-SP</tt> enth&auml;lt Parameter zur Nutzung
+ von MOA-SP. MOA-SP wird f&uuml;r die &uuml;berpr&uuml;fung
+ der Signatur der Personenbindung und des AUTH-Blocks verwendet. <br />
+ Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben,
+ dann wird MOA-SP &uuml;ber das Webservice angesprochen.</p>
+<p> Wird das Kind-Element <tt>ConnectionParameter</tt> nicht angegeben so wird eine MOA-ID beiligende Version von
+ MOA-SP direkt &uuml;ber das Java-API angesprochen. In diesem
+ Fall muss das System-Property auf die verwendete Konfigurationsdatei
+ von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei
+ ist in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml</tt> enthalten. </p>
+
+ <p><b><i>Hinweis:</i></b><i> MOA-SP muss entsprechend konfiguriert
+ werden - siehe hierzu Abschnitt <a href="#sp-config">Konfiguration
+ von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP
+ finden sie in der Distribution von MOA-SP/SS beiligenden
+ Dokumentation im Abschnitt 'Konfiguration'.<br>
+</i></p>
+ <p>Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt> spezifiziert eine TrustProfileID, die f&uuml;r den <tt>VerifyXMLSignatureRequest</tt> zur &Uuml;berpr&uuml;fung der Signatur der Personenbindung
+ verwendet werden muss. Diese TrustProfileID muss beim
+verwendeten MOA-SP Modul konfiguriert sein.</p>
+<p>Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt> und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt> spezifizieren eine TrustProfileID und eine ID f&uuml;r
+ ein Transformationsprofil, die f&uuml;r den <tt>VerifyXMLSignatureRequest</tt> zur &uuml;berpr&uuml;fung der Signatur des Auth-Blocks
+ verwendet werden m&uuml;ssen. Diese TrustProfileID muss
+beim verwendeten MOA-SP Modul konfiguriert sein.</p>
- </p>
-<div id="SecurityLayer" />
- <p id="block"> <b>AuthComponent/SecurityLayer</b> <br />
- Das Element <tt>SecurityLayer</tt> enth&auml;lt Parameter
- zur Nutzung des Security-Layers. <br />
- <br />
- Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine
- Transformation, die f&uuml;r die Erstellung der Signatur des
- AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt>
- des Security-Layers integriert werden muss. Mehrere unterschiedliche
- Implementierungen des Security-Layer k&ouml;nnen durch die
- Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterst&uuml;tzt
- werden. <br />
- <br />
- Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf
- eine Datei, die das globale Element <tt>TransformsInfo</tt>
- vom Typ <tt>TransformsInfo</tt> enth&auml;lt. Die Angabe erfolgt
- relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser
- Datei muss UTF-8 sein. <br />
- <br />
- <a href="examples/TransformsInfoAuthBlockTable_DE.xml">Beispiel f&uuml;r
- eine TransformsInfo-Datei</a> </p>
- <div id="MOA-SP" />
- <p id="block"> <b>AuthComponent/MOA-SP</b> <br />
- Das Element <tt>MOA-SP</tt> enth&auml;lt Parameter zur Nutzung
- von MOA-SP. MOA-SP wird f&uuml;r die &uuml;berpr&uuml;fung
- der Signatur der Personenbindung und des AUTH-Blocks verwendet.
- <br />
- <br />
- Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben,
- dann wird MOA-SP &uuml;ber das Webservice angesprochen.</p>
- <p id="block">Wird das Kind-Element <tt>ConnectionParameter</tt>
- nicht angegeben so wird eine MOA-ID beiligende Version von
- MOA-SP direkt &uuml;ber das Java-API angesprochen. In diesem
- Fall muss das System-Property auf die verwendete Konfigurationsdatei
- von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei
- ist in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml</tt>
- enthalten. </p>
-
- <div id="moaid-konfiguration" />
- <div id="ConnectionParameter" />
- <div id="AuthComponent" />
- <div id="BKUSelection" />
- <div id="SecurityLayer" />
- <div id="MOA-SP" />
- <div id="verifytransformsInfoProfile" />
- <p><b><i>Hinweis:</i></b><i> MOA-SP muss entsprechend konfiguriert
- werden - siehe hierzu Abschnitt <a href="#sp-config">Konfiguration
- von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP
- finden sie in der Distribution von MOA-SP/SS beiligenden
- Dokumentation im Abschnitt 'Konfiguration'.<br>
- </i><br />
- Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt>
- spezifiziert eine TrustProfileID, die f&uuml;r den <tt>VerifyXMLSignatureRequest</tt>
- zur &Uuml;berpr&uuml;fung der Signatur der Personenbindung
- verwendet werden muss. Diese TrustProfileID muss beim
- verwendeten MOA-SP Modul konfiguriert sein.<br />
- <br />
- Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt>
- und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt>
- spezifizieren eine TrustProfileID und eine ID f&uuml;r
- ein Transformationsprofil, die f&uuml;r den <tt>VerifyXMLSignatureRequest</tt>
- zur &uuml;berpr&uuml;fung der Signatur des Auth-Blocks
- verwendet werden m&uuml;ssen. Diese TrustProfileID muss
- beim verwendeten MOA-SP Modul konfiguriert sein.</p>
-
- <div id="moaid-konfiguration" />
- <div id="AuthComponent" />
- <div id="IdentityLinkSigners" />
- <p id="block"> <b>AuthComponent/IdentityLinkSigners</b>
- <br />
- Dieses Element gibt an von welchen Signatoren die Signatur
- des IdentityLink erstellt werden musste damit der IdentityLink
- akzeptiert wird. F&uuml;r jeden Signator muss der <tt>X509SubjectName</tt>
- nach RFC 2253 spezifiziert werden. <br />
- <br />
- <a href="examples/IdentityLinkSigners.txt">Beispiel</a>
- <br /><br />
- <b>Anmerkung:</b> Ab Version 1.4 ist dieses Element nicht mehr verpflichtend notwendig, da die
- Berechtigung von Zertifikaten zum Signieren von Personenbindungen ab Februar
- 2007 &uuml;ber die Zertifikatseigenschaft "Eigenschaft zur Ausstellung von Personenbindungen"
- (OID: 1.2.40.0.10.1.7.1) gepr&uuml;ft wird.
- Der Namens-Check des alten Zertifikats wird fix in MOA-ID integriert, sodass das
- <tt>IdentityLinkSigners</tt>-Element in der Konfiguration &uuml;berfl&uuml;ssig wird.
+<p id="IdentityLinkSigners"> <b>AuthComponent/IdentityLinkSigners</b> <br />
+ Dieses Element gibt an von welchen Signatoren die Signatur
+ des IdentityLink erstellt werden musste damit der IdentityLink
+ akzeptiert wird. F&uuml;r jeden Signator muss der <tt>X509SubjectName</tt> nach RFC 2253 spezifiziert werden. </p>
+<p><a href="examples/IdentityLinkSigners.txt">Beispiel</a><br />
+ <br />
+ <b>Anmerkung:</b> Ab Version 1.4 ist dieses Element nicht mehr verpflichtend notwendig, da die
+ Berechtigung von Zertifikaten zum Signieren von Personenbindungen ab Februar
+ 2007 &uuml;ber die Zertifikatseigenschaft "Eigenschaft zur Ausstellung von Personenbindungen"
+ (OID: 1.2.40.0.10.1.7.1) gepr&uuml;ft wird.
+ Der Namens-Check des alten Zertifikats wird fix in MOA-ID integriert, sodass das <tt>IdentityLinkSigners</tt>-Element in der Konfiguration &uuml;berfl&uuml;ssig wird. </p>
- <br />
- </p>
- <div id="VerifyInfoboxesAuth" />
- <p id="block"> <b>AuthComponent/VerifyInfoboxes</b>
- <br />
- Ab Version 1.4 bietet MOA-ID die M&ouml;glichkeit einer erweiterten Infobox-Validierung,
- das hei&szlig;t, es k&ouml;nnen neben der Personenbindung auch weitere ausgelesene Infoboxen
- validiert werden. Die f&uuml;r die Validierung der Infoboxen notwendigen Parameter
- k&ouml;nnen &uuml;ber die Konfigurationsdatei durch das <tt>VerifyInfoboxes</tt>
- Element sowohl <a href="#VerifyInfoboxesAuth">global</a> als auch
- <a href="#OnlineApplication/AuthComponent/VerifyInfoboxes">lokal</a>
- je Online-Applikation gesetzt werden. MOA-ID &uuml;bergibt diese Parameter der
- Applikation, die f&uuml;r die Verifikation des Inhaltes der jeweilgen von der BKU
- &uuml;bermittelten Infobox verantwortlich ist. Im Folgenden wird eine derartige
- Applikation als <tt>Pr&uuml;fapplikation</tt> bezeichnet.
- <br />
- Das <tt>Verifyinfoboxes</tt> Element ist optional und kann fehlen,
- wenn keine Infoboxen au&szlig;er der der Personenbindung validiert werden m&uuml;ssen.
- <br />
- Das <tt>VerifyInfoboxes</tt>-Element hat folgende Kind-Elemente:
- <ul>
- <li id="DefaultTrustProfileVI"><tt>DefaultTrustProfile</tt>: Dieses optionale
- Element kann nur einmal vorkommen und spezifiziert ein Trust-Profil, das
- von einer <tt>Pr&uuml;fapplikation</tt> zur Validierung einer Infobox
- herangezogen werden kann, wenn f&uuml;r diese Infobox kein eigenes
- <a href="#TrustProfileVI">Trust-Profil</a> gesetzt wurde. Es hat genau ein
- Kindelement namens <tt>TrustProfileID</tt>, das die ID eines in MOA-SP
- konfigurierten Trust-Profiles enth&auml;lt.
- <br />
- <b>Anmerkung:</b> Das Trust-Profil f&uuml;r die
- <a href="#trustProfile">Personenbindung</a> darf <b>nicht</b>
- zur Validierung anderer Infoboxen verwendet werden. Das Trust-Profil f&uuml;r
- die <a href="#trustProfile">B&uuml;rgerkarte</a> <b>soll</b> nur dann zur Validierung
- anderer Infoboxen verwendet werden, wenn die zur Verifikation der Zertifikate ben&ouml;tigten
- Wurzelzertifikate bereits im entsprechenden Trust-Store enthalten sind. (vgl.
- MOA-ID Spezifikation, Abschnitt 4.6).
- </li>
- <li id="InfoboxVI"><tt>Infobox</tt>: Dieses Element kann beliebig oft vorkommen
- und kapselt die Parameter, die f&uuml;r die Validierung einer Infobox an die
- jeweilige Pr&uuml;fapplikation &uuml;bergeben werden.
- <br />
- Das <tt>Infobox</tt>-Element hat folgende Attribute:
- <ul>
- <li id="IdentifierVI"><tt>Identifier:</tt> Dieses Attribut muss vorhanden sein und gibt
- den <tt>Namen</tt> der Infobox an. Er muss dabei exakt dem <tt>Bezeichner</tt>
- der jeweiligen zu validierenden Infobox aus der BKU entsprechen, also
- zum Beispiel<tt> EHSPToken</tt> f&uuml;r die <tt>GDAToken</tt>-Infobox.
- <br />
- </li>
- <li id="requiredVI"><tt>required:</tt> Dieses Attribut vom Typ
- <tt>boolean</tt> bestimmt, ob MOA-ID den Inhalt der entsprechenden Infobox
- f&uuml;r die Anmeldung zwingend ben&ouml;tigt. Ist es auf <tt>true</tt>
- gesetzt, und wird der entsprechende Infobox-Inhalt nicht von der BKU
- &uuml;bermittelt, so bricht MOA-ID den Anmeldevorgang mit einer Fehlermeldung
- ab.
- <br />
- Fehlt dieses Attribut, so wird als Defaultwert <tt>false</tt> gesetzt.
- <br />
- </li>
- <li id="provideStammzahlVI"><tt>provideStammzahl:</tt> Dieses Attribut vom Typ
- <tt>boolean</tt> bestimmt, ob die Pr&uuml;fapplikation die Stammzahl aus der
- Personenbindung erhalten darf. Fehlt dieses Attribut, so wird als Defaultwert
- <tt>false</tt> gesetzt.
- <br />
- <b>Anmerkung</b>: Das Attribut steht in keinem Zusammenhang zum gleichnamigen
- Attribut <a href="#provideStammzahlOA">OnlineApplication/AuthComponent/@provideStammzahl</a>,
- das angibt ob die Stammzahl an die <i>Online-Applikation</i> weitergegeben werden darf.
- </li>
- <li id="provideIdentityLinkVI"><tt>provideIdentityLink:</tt> Dieses Attribut vom Typ
- <tt>boolean</tt> bestimmt, ob die Pr&uuml;fapplikation die Personenbindung erhalten
- soll. Hat es den Wert <tt>true</tt>, so wird ein Klone des Wurzel-Elements der Personenbindung
- an die Pr&uuml;fapplikation &uuml;bergeben, wobei zu beachten ist, dass die
- darin enthaltene Stammzahl auf einen leeren String gesetzt wird, falls das
- Attribut <a href="#provideStammzahlVI">provideStammzahl</a> auf <tt>false</tt>
- gesetzt ist.
- Fehlt das <tt>provideIdentityLink</tt>-Attribut, so wird als Defaultwert <tt>false</tt> gesetzt.
- <br />
- <b>Anmerkung 1</b>: Das Attribut steht in keinem Zusammenhang zum gleichnamigen
- Attribut <a href="#provideIdentityLinkOA">OnlineApplication/AuthComponent/@provideIdentityLink</a>,
- das angibt ob die <i>Online-Applikation</i> die Personenbindung erhalten
- soll.
- <br />
- <b>Anmerkung 2</b>: Der Pr&uuml;fapplikation werden defaultm&auml;&szlig;ig der Vorname,
- der Familienname, das Geburtsdatum, der Typ der Stammzahl, die Stammzahl
- (konfigurierbar) und die &ouml;ffentlichen Schl&uuml;ssel aus der Personenbindung
- &uuml;bergeben. Das Attribut <tt>provideIdentityLink</tt> sollte deshalb
- wirklich nur dann auf <tt>true</tt> gesetzt werden, wenn von der
- Pr&uuml;fapplikation noch andere Daten aus der Personenbindung ben&ouml;tigt
- werden.
- </li>
- </ul>
- Das <tt>Infobox</tt>-Element hat folgende Kind-Elemente:
- <ul>
- <li id="FriendlyNameVI"><tt>FriendlyName</tt>: Das Element ist optional und
- enth&auml;lt einen Namen, der von MOA-ID zur Anzeige von, die jeweilige Infobox
- betreffende, Fehlermeldungen im Browser verwendet wird. Im Regelfall wird man
- hier den deutschen Namen der Infobox setzen, also z.B.<tt> GDAToken</tt> f&uuml;r die <tt>EHSPToken</tt>-Infobox.
- <br />
- Fehlt dieses Element, so wird f&uuml;r Fehlermeldungen der Wert des
- <a href="#IdentifierVI">Identifier</a>-Attributes verwendet.
- </li>
- <li id="TrustProfileVI"><tt>TrustProfileID</tt>: Das Element ist optional und
- bezeichnet ein in MOA-SP konfiguriertes Trust-Profil, das von MOA-ID
- f&uuml;r die Validierung der Infobox verwendet wird.
- Dabei ist wieder zu beachten, dass das Trust-Profil f&uuml;r die
- <a href="#trustProfile">Personenbindung</a> <b>nicht</b>
- zur Validierung anderer Infoboxen verwendet werden darf, und das Trust-Profil f&uuml;r
- die <a href="#trustProfile">B&uuml;rgerkarte</a> nur dann zur Validierung
- anderer Infoboxen verwendet werden <b>soll</b>, wenn die zur Verifikation der
- Zertifikate ben&ouml;tigten Wurzelzertifikate bereits im entsprechenden
- Trust-Store enthalten sind. (vgl. MOA-ID Spezifikation, Abschnitt 4.6).
- <br />Fehlt dieses Element, so wird das
- <a href="#DefaultTrustProfileVI">Default-Trust-Profil</a>
- verwendet. Ist dieses auch nicht konfiguriert, so wird f&uuml;r die
- Validierung der entsprechenden Infobox keine Zertifikatspr&uuml;fung
- notwendig sein.
- </li>
- <li id="ValidatorClassVI"><tt>ValidatorClass</tt>: Das Element ist optional
- und bezeichnet den Namen der Klasse (voller Package-Name), die von MOA-ID
- zur Validierung der Infobox geladen werden soll. Fehlt dieses Element,
- so wird MOA-ID versuchen, eine Default-Klasse zu laden, deren Namen aus
- dem <a href="#IdentifierVI">Identifier</a>-Attribut der Infobox abgeleitet
- wird (vgl. MOA-ID-Spezifikation, Abschnitt 4.7.2.3,
- <tt>Zuordnung eines InfoboxReadResponse zu einer implementierenden Klasse</tt>).
- <br />
- <b>Anmerkung</b>: Im Regelfall wird dieses Element fehlen, da bei der
- Entwicklung einer Infobox-Pr&uuml;fapplikation der Default-Klassennamen
- verwendet werden sollte. Nur wenn es verschiedene Pr&uuml;fapplikationen
- f&uuml;r eine Infobox gibt, wird man das <tt>ValidatorClass</tt>
- verwenden, um eine andere als die Default-Applikation zu laden.
- </li>
- <li id="SchemaLocationsVI"><tt>SchemaLocations</tt>: Das Element ist optional
- und referenziert XML-Schemas, die von der Pr&uuml;fapplikation zum
- validierenden Parsen von Infoboxen verwendet werden k&ouml;nnen. Das
- Element hat beliebig viele <tt>Schema</tt>-Kindelemente, dessen Attribute
- <tt>namespace</tt> und <tt>schemaLocation</tt> jeweils die Namespace-URI
- und den Ort (URI) des entsprechenden Schemas bezeichnen. Relative URIs im
- <tt>schemaLocation</tt>-Attribut sind dabei relativ zum Verzeichnis der
- MOA-ID-Konfigurationsdatei zu interpretieren.
- <br />
- Beispiel:
- <br />
- <pre>
+<p id="VerifyInfoboxesAuth"> <b>AuthComponent/VerifyInfoboxes</b> <br />
+ Ab Version 1.4 bietet MOA-ID die M&ouml;glichkeit einer erweiterten Infobox-Validierung,
+ das hei&szlig;t, es k&ouml;nnen neben der Personenbindung auch weitere ausgelesene Infoboxen
+ validiert werden. Die f&uuml;r die Validierung der Infoboxen notwendigen Parameter
+ k&ouml;nnen &uuml;ber die Konfigurationsdatei durch das <tt>VerifyInfoboxes</tt> Element sowohl <a href="#VerifyInfoboxesAuth">global</a> als auch <a href="#OnlineApplication/AuthComponent/VerifyInfoboxes">lokal</a> je Online-Applikation gesetzt werden. MOA-ID &uuml;bergibt diese Parameter der
+ Applikation, die f&uuml;r die Verifikation des Inhaltes der jeweilgen von der BKU
+ &uuml;bermittelten Infobox verantwortlich ist. Im Folgenden wird eine derartige
+ Applikation als <tt>Pr&uuml;fapplikation</tt> bezeichnet.
+<p>Das <tt>Verifyinfoboxes</tt> Element ist optional und kann fehlen,
+ wenn keine Infoboxen au&szlig;er der der Personenbindung validiert werden m&uuml;ssen.
+ Das <tt>VerifyInfoboxes</tt>-Element hat folgende Kind-Elemente:
+<ul>
+ <li id="DefaultTrustProfileVI"><tt>DefaultTrustProfile</tt>: Dieses optionale
+ Element kann nur einmal vorkommen und spezifiziert ein Trust-Profil, das
+ von einer <tt>Pr&uuml;fapplikation</tt> zur Validierung einer Infobox
+ herangezogen werden kann, wenn f&uuml;r diese Infobox kein eigenes <a href="#TrustProfileVI">Trust-Profil</a> gesetzt wurde. Es hat genau ein
+ Kindelement namens <tt>TrustProfileID</tt>, das die ID eines in MOA-SP
+ konfigurierten Trust-Profiles enth&auml;lt. <br />
+ <b>Anmerkung:</b> Das Trust-Profil f&uuml;r die <a href="#trustProfile">Personenbindung</a> darf <b>nicht</b> zur Validierung anderer Infoboxen verwendet werden. Das Trust-Profil f&uuml;r
+ die <a href="#trustProfile">B&uuml;rgerkarte</a> <b>soll</b> nur dann zur Validierung
+ anderer Infoboxen verwendet werden, wenn die zur Verifikation der Zertifikate ben&ouml;tigten
+ Wurzelzertifikate bereits im entsprechenden Trust-Store enthalten sind. (vgl.
+ MOA-ID Spezifikation, Abschnitt 4.6). </li>
+ <li id="InfoboxVI"><tt>Infobox</tt>: Dieses Element kann beliebig oft vorkommen
+ und kapselt die Parameter, die f&uuml;r die Validierung einer Infobox an die
+ jeweilige Pr&uuml;fapplikation &uuml;bergeben werden. <br />
+ Das <tt>Infobox</tt>-Element hat folgende Attribute:
+ <ul>
+ <li id="IdentifierVI"><tt>Identifier:</tt> Dieses Attribut muss vorhanden sein und gibt
+ den <tt>Namen</tt> der Infobox an. Er muss dabei exakt dem <tt>Bezeichner</tt> der jeweiligen zu validierenden Infobox aus der BKU entsprechen, also
+ zum Beispiel<tt> EHSPToken</tt> f&uuml;r die <tt>GDAToken</tt>-Infobox. <br />
+ </li>
+ <li id="requiredVI"><tt>required:</tt> Dieses Attribut vom Typ <tt>boolean</tt> bestimmt, ob MOA-ID den Inhalt der entsprechenden Infobox
+ f&uuml;r die Anmeldung zwingend ben&ouml;tigt. Ist es auf <tt>true</tt> gesetzt, und wird der entsprechende Infobox-Inhalt nicht von der BKU
+ &uuml;bermittelt, so bricht MOA-ID den Anmeldevorgang mit einer Fehlermeldung
+ ab. <br />
+ Fehlt dieses Attribut, so wird als Defaultwert <tt>false</tt> gesetzt. <br />
+ </li>
+ <li id="provideStammzahlVI"><tt>provideStammzahl:</tt> Dieses Attribut vom Typ <tt>boolean</tt> bestimmt, ob die Pr&uuml;fapplikation die Stammzahl aus der
+ Personenbindung erhalten darf. Fehlt dieses Attribut, so wird als Defaultwert <tt>false</tt> gesetzt. <br />
+ <b>Anmerkung</b>: Das Attribut steht in keinem Zusammenhang zum gleichnamigen
+ Attribut <a href="#provideStammzahlOA">OnlineApplication/AuthComponent/@provideStammzahl</a>,
+ das angibt ob die Stammzahl an die <i>Online-Applikation</i> weitergegeben werden darf. </li>
+ <li id="provideIdentityLinkVI"><tt>provideIdentityLink:</tt> Dieses Attribut vom Typ <tt>boolean</tt> bestimmt, ob die Pr&uuml;fapplikation die Personenbindung erhalten
+ soll. Hat es den Wert <tt>true</tt>, so wird ein Klone des Wurzel-Elements der Personenbindung
+ an die Pr&uuml;fapplikation &uuml;bergeben, wobei zu beachten ist, dass die
+ darin enthaltene Stammzahl auf einen leeren String gesetzt wird, falls das
+ Attribut <a href="#provideStammzahlVI">provideStammzahl</a> auf <tt>false</tt> gesetzt ist.
+ Fehlt das <tt>provideIdentityLink</tt>-Attribut, so wird als Defaultwert <tt>false</tt> gesetzt. <br />
+ <b>Anmerkung 1</b>: Das Attribut steht in keinem Zusammenhang zum gleichnamigen
+ Attribut <a href="#provideIdentityLinkOA">OnlineApplication/AuthComponent/@provideIdentityLink</a>,
+ das angibt ob die <i>Online-Applikation</i> die Personenbindung erhalten
+ soll. <br />
+ <b>Anmerkung 2</b>: Der Pr&uuml;fapplikation werden defaultm&auml;&szlig;ig der Vorname,
+ der Familienname, das Geburtsdatum, der Typ der Stammzahl, die Stammzahl
+ (konfigurierbar) und die &ouml;ffentlichen Schl&uuml;ssel aus der Personenbindung
+ &uuml;bergeben. Das Attribut <tt>provideIdentityLink</tt> sollte deshalb
+ wirklich nur dann auf <tt>true</tt> gesetzt werden, wenn von der
+ Pr&uuml;fapplikation noch andere Daten aus der Personenbindung ben&ouml;tigt
+ werden. </li>
+ </ul>
+ Das <tt>Infobox</tt>-Element hat folgende Kind-Elemente:
+ <ul>
+ <li id="FriendlyNameVI"><tt>FriendlyName</tt>: Das Element ist optional und
+ enth&auml;lt einen Namen, der von MOA-ID zur Anzeige von, die jeweilige Infobox
+ betreffende, Fehlermeldungen im Browser verwendet wird. Im Regelfall wird man
+ hier den deutschen Namen der Infobox setzen, also z.B.<tt> GDAToken</tt> f&uuml;r die <tt>EHSPToken</tt>-Infobox. <br />
+ Fehlt dieses Element, so wird f&uuml;r Fehlermeldungen der Wert des <a href="#IdentifierVI">Identifier</a>-Attributes verwendet. </li>
+ <li id="TrustProfileVI"><tt>TrustProfileID</tt>: Das Element ist optional und
+ bezeichnet ein in MOA-SP konfiguriertes Trust-Profil, das von MOA-ID
+ f&uuml;r die Validierung der Infobox verwendet wird.
+ Dabei ist wieder zu beachten, dass das Trust-Profil f&uuml;r die <a href="#trustProfile">Personenbindung</a> <b>nicht</b> zur Validierung anderer Infoboxen verwendet werden darf, und das Trust-Profil f&uuml;r
+ die <a href="#trustProfile">B&uuml;rgerkarte</a> nur dann zur Validierung
+ anderer Infoboxen verwendet werden <b>soll</b>, wenn die zur Verifikation der
+ Zertifikate ben&ouml;tigten Wurzelzertifikate bereits im entsprechenden
+ Trust-Store enthalten sind. (vgl. MOA-ID Spezifikation, Abschnitt 4.6). <br />
+ Fehlt dieses Element, so wird das <a href="#DefaultTrustProfileVI">Default-Trust-Profil</a> verwendet. Ist dieses auch nicht konfiguriert, so wird f&uuml;r die
+ Validierung der entsprechenden Infobox keine Zertifikatspr&uuml;fung
+ notwendig sein. </li>
+ <li id="ValidatorClassVI"><tt>ValidatorClass</tt>: Das Element ist optional
+ und bezeichnet den Namen der Klasse (voller Package-Name), die von MOA-ID
+ zur Validierung der Infobox geladen werden soll. Fehlt dieses Element,
+ so wird MOA-ID versuchen, eine Default-Klasse zu laden, deren Namen aus
+ dem <a href="#IdentifierVI">Identifier</a>-Attribut der Infobox abgeleitet
+ wird (vgl. MOA-ID-Spezifikation, Abschnitt 4.7.2.3, <tt>Zuordnung eines InfoboxReadResponse zu einer implementierenden Klasse</tt>). <br />
+ <b>Anmerkung</b>: Im Regelfall wird dieses Element fehlen, da bei der
+ Entwicklung einer Infobox-Pr&uuml;fapplikation der Default-Klassennamen
+ verwendet werden sollte. Nur wenn es verschiedene Pr&uuml;fapplikationen
+ f&uuml;r eine Infobox gibt, wird man das <tt>ValidatorClass</tt> verwenden, um eine andere als die Default-Applikation zu laden. </li>
+ <li id="SchemaLocationsVI"><tt>SchemaLocations</tt>: Das Element ist optional
+ und referenziert XML-Schemas, die von der Pr&uuml;fapplikation zum
+ validierenden Parsen von Infoboxen verwendet werden k&ouml;nnen. Das
+ Element hat beliebig viele <tt>Schema</tt>-Kindelemente, dessen Attribute <tt>namespace</tt> und <tt>schemaLocation</tt> jeweils die Namespace-URI
+ und den Ort (URI) des entsprechenden Schemas bezeichnen. Relative URIs im <tt>schemaLocation</tt>-Attribut sind dabei relativ zum Verzeichnis der
+ MOA-ID-Konfigurationsdatei zu interpretieren. <br />
+ Beispiel: <br />
+ <pre>
&lt;SchemaLocations&gt;
&lt;Schema namespace="http://ns1.ns1" schemaLocation="schemas/ns1.xsd"/&gt;
&lt;Schema namespace="http://ns2.ns2" schemaLocation="schemas/ns2.xsd"/&gt;
&lt;/SchemaLocations>
</pre>
- Weitere M&ouml;glichkeiten zur &Uuml;bergabe von XML-Schemas an die
- Pr&uuml;fapplikation k&ouml;nnen in der MOA-ID-Spezifikation im
- Abschnitt 4.7.2, <tt>Erweiterte Infobox&uuml;berpr&uuml;fung</tt>, nachgelesen werden.
- </li>
- <li id="ApplicationSpecificParametersVI"><tt>ApplicationSpecificParameters</tt>:
- Das Element ist optional und nimmt Infobox-kontext-spezifische Parameter
- auf.
- <br />
- Da MOA-ID die zus&auml;tzlichen zur Personenbindung abgefragten Infoboxen
- (bzw. deren Inhalte) nicht a priori kennt, ist es unm&ouml;glich vorherzusehen,
- welche Parameter eine Pr&uuml;fapplikation zum Validieren einer Infobox
- ben&ouml;tigt. Die Konfiguration sieht daher das Element
- <tt>ApplicationSpecificParameters</tt> vor, um einer bestimmten
- Pr&uuml;fapplikation kontext spezifische Parameter zu &uuml;bermitteln.
- Dieses Element wird vollst&auml;ndig an die Pr&uuml;fapplikation
- weitergegeben, und es obliegt der Pr&uuml;fapplikation die Kindelemente
- des <tt>ApplicationSpecificParameters</tt>-Element zu extrahieren und zu
- interpretieren.
- <br />
- Beispiel:
- <br />
- <pre>
+ Weitere M&ouml;glichkeiten zur &Uuml;bergabe von XML-Schemas an die
+ Pr&uuml;fapplikation k&ouml;nnen in der MOA-ID-Spezifikation im
+ Abschnitt 4.7.2, <tt>Erweiterte Infobox&uuml;berpr&uuml;fung</tt>, nachgelesen werden. </li>
+ <li id="ApplicationSpecificParametersVI"><tt>ApplicationSpecificParameters</tt>:
+ Das Element ist optional und nimmt Infobox-kontext-spezifische Parameter
+ auf. <br />
+ Da MOA-ID die zus&auml;tzlichen zur Personenbindung abgefragten Infoboxen
+ (bzw. deren Inhalte) nicht a priori kennt, ist es unm&ouml;glich vorherzusehen,
+ welche Parameter eine Pr&uuml;fapplikation zum Validieren einer Infobox
+ ben&ouml;tigt. Die Konfiguration sieht daher das Element <tt>ApplicationSpecificParameters</tt> vor, um einer bestimmten
+ Pr&uuml;fapplikation kontext spezifische Parameter zu &uuml;bermitteln.
+ Dieses Element wird vollst&auml;ndig an die Pr&uuml;fapplikation
+ weitergegeben, und es obliegt der Pr&uuml;fapplikation die Kindelemente
+ des <tt>ApplicationSpecificParameters</tt>-Element zu extrahieren und zu
+ interpretieren. <br />
+ Beispiel: <br />
+ <pre>
&lt;ApplicationSpecificParameters&gt;
&lt;Parameter1&gt;content1&lt;/Parameter1&gt;
&lt;Parameter2&gt;content2&lt;/Parameter2&gt;
@@ -507,288 +316,210 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
&lt;/Parameter3&gt;
&lt;/ApplicationSpecificParameters&gt;
</pre>
- </li>
- </ul>
- </li>
- </ul>
+ </li>
+ </ul>
+ </li>
+</ul>
<p><br />
- Eine Beispielkonfiguration finden sie am Ende das Abschnitts
- <a href="#VerifyInfoboxesOA">OnlineApplication/AuthComponent/VerifyInfoboxes</a>.
- <br />
- </p>
- <div id="ForeignIdentitiesAuth" />
- <p><b>AuthComponent/ForeignIdentities</b> <br />
-Ab Version 1.4.7 bietet MOA-ID die M&ouml;glichkeit der Nutzung von ausl&auml;ndischen Karten. Hierf&uuml;r ist ein Stammzahlenregister-Gateway n&ouml;tig, das einen entsprechenden Zugang zum Stammzahlenregister bereitstellt. Es ist hierzu ein entsprechender <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> zu definieren, der die Zugangsdaten zum Gateway bereith&auml;lt (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>). In der Default-Konfiguration ist der Zugang zum Stammzahlenregister-Gateway bereits aktiviert. Es muss nur noch das Client-Zertifikat f&uuml;r die SSL-Verbinung zum Gateway angegeben werden. Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben.<br />
+ Eine Beispielkonfiguration finden sie am Ende das Abschnitts <a href="#VerifyInfoboxesOA">OnlineApplication/AuthComponent/VerifyInfoboxes</a>. <br />
</p>
+<p id="ForeignIdentitiesAuth"><b>AuthComponent/ForeignIdentities</b> <br />
+ Ab Version 1.4.7 bietet MOA-ID die M&ouml;glichkeit der Nutzung von ausl&auml;ndischen Karten. Hierf&uuml;r ist ein Stammzahlenregister-Gateway n&ouml;tig, das einen entsprechenden Zugang zum Stammzahlenregister bereitstellt. Es ist hierzu ein entsprechender <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> zu definieren, der die Zugangsdaten zum Gateway bereith&auml;lt (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>). In der Default-Konfiguration ist der Zugang zum Stammzahlenregister-Gateway bereits aktiviert. Es muss nur noch das Client-Zertifikat f&uuml;r die SSL-Verbinung zum Gateway angegeben werden. Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben.</p>
<p><b>AuthComponent/ForeignIdentities/STORK</b> <br />
- <p>Ab MOA Release 1.5.2 ist es auch m&ouml;glich, ausl&auml;ndische B&uuml;rger &uuml;ber <a href="http://eid-stork.eu/" target="_new">STORK</a> zu authentifizieren. Da auch f&uuml;r diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angef&uuml;hrten Ausf&uuml;hrungen hinsichtlich <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> auch f&uuml;r STORK. F&uuml;r eine STORK Authentifizierung sind jedoch noch weitere Konfigurationen notwendig. Folgende Eintr&auml;ge m&uuml;ssen f&uuml;r eine STORK Authentifizierung hier noch konfiguriert werden:
- <ul>
- <li>C-PEPS Informationen
- <br />
- </li>
- <li>KeyStore zum SAML Signatur-Zertifikat
- <br />
- </li>
- <li>MOA-SP TrustProfil zur SAML Signatur-Validierung
- <br />
- </li>
- </ul>
- </p>
+ Ab MOA Release 1.5.2 ist es auch m&ouml;glich, ausl&auml;ndische B&uuml;rger &uuml;ber <a href="http://eid-stork.eu/" target="_new">STORK</a> zu authentifizieren. Da auch f&uuml;r diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angef&uuml;hrten Ausf&uuml;hrungen hinsichtlich <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> auch f&uuml;r STORK. F&uuml;r eine STORK Authentifizierung sind jedoch noch weitere Konfigurationen notwendig. Folgende Eintr&auml;ge m&uuml;ssen f&uuml;r eine STORK Authentifizierung hier noch konfiguriert werden:
+ <ul>
+ <li>C-PEPS Informationen <br />
+ </li>
+ <li>KeyStore zum SAML Signatur-Zertifikat <br />
+ </li>
+ <li>MOA-SP TrustProfil zur SAML Signatur-Validierung <br />
+ </li>
+</ul>
<p><b>AuthComponent/ForeignIdentities/STORK/C-PEPS</b> <br />
- Unter diesem Konfigurationselement k&ouml;nnen die Verbindungsparameter zu den jeweiligen C-PEPS (Citizen Country - PEPS) der europ&auml;ischen L&auml;nder, die auch STORK unterst&uuml;tzen, angegeben werden. F&uuml;r eine erfolgreiche C-PEPS Konfiguration muss der ISO-Country Code des jeweiligen Landes und die dazugeh&ouml;rige C-PEPS URL angegeben werden. In Ausnahmenf&auml;llen m&uuml;ssen bei einzelnen C-PEPS l&auml;nderspezifische Attribute abgefragt werden, dies funktioniert durch zus&auml;tzliche Angabe eines <tt>&lt;stork:RequestedAttribute&gt;</tt> Elements. Die C-PEPS Konfigurationen sind in den der MOA-Release beliegenden Beispielkonfigurationen bereits vorkonfiguriert. Sollte sich an diesen Konfigurationen etwas &auml;ndern, werden diese via JoinUp (<a href="https://joinup.ec.europa.eu/software/moa-idspss/home" target="_new">MOA@JoinUp</a>) bzw. MOA-Mailingliste ver&ouml;ffentlicht. Im Folgenden wird eine Beispielkonfiguration kurz veranschaulicht.
- <pre>
-&lt;C-PEPS countryCode="PT" URL="https://eu-id.cartaodecidadao.gov.pt/PEPS/ColleagueRequest"/&gt;
+ Unter diesem Konfigurationselement k&ouml;nnen die Verbindungsparameter zu den jeweiligen C-PEPS (Citizen Country - PEPS) der europ&auml;ischen L&auml;nder, die auch STORK unterst&uuml;tzen, angegeben werden. F&uuml;r eine erfolgreiche C-PEPS Konfiguration muss der ISO-Country Code des jeweiligen Landes und die dazugeh&ouml;rige C-PEPS URL angegeben werden. In Ausnahmenf&auml;llen m&uuml;ssen bei einzelnen C-PEPS l&auml;nderspezifische Attribute abgefragt werden, dies funktioniert durch zus&auml;tzliche Angabe eines <tt>&lt;stork:RequestedAttribute&gt;</tt> Elements. Die C-PEPS Konfigurationen sind in den der MOA-Release beliegenden Beispielkonfigurationen bereits vorkonfiguriert. Sollte sich an diesen Konfigurationen etwas &auml;ndern, werden diese via JoinUp (<a href="https://joinup.ec.europa.eu/software/moa-idspss/home" target="_new">MOA@JoinUp</a>) bzw. MOA-Mailingliste ver&ouml;ffentlicht. Im Folgenden wird eine Beispielkonfiguration kurz veranschaulicht.
+ <pre>
+&lt;C-PEPS countryCode="PT" URL="https://eu-id.cartaodecidadao.gov.pt/PEPS/ColleagueRequest"/&gt;
&lt;C-PEPS countryCode="SI" URL="https://peps.mju.gov.si/PEPS/ColleagueRequest"&gt;
- &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/fiscalNumber" isRequired="true" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/&gt;
-&lt;/C-PEPS&gt;
-</pre>
- Details zur Angabe von <tt>&lt;stork:RequestedAttribute&gt;</tt> bzw. welche Attribute von STORK &uuml;berhaupt unterst&uuml;tzt werden, wird in der Konfiguration zur Online Application angegeben (<a href="#OnlineApplication/AuthComponent/STORK">hier</a>).
-
- <p><b>AuthComponent/ForeignIdentities/STORK/SAMLSigningParameter</b> <br />
- Dieser Konfigurationseintrag enth&auml;lt Informationen dazu, mit welchem Zertifikat ausgehende STORK SAML Nachichten signiert werden und welches MOA-SP TrustProfil zur Signatur&uuml;berpr&uuml;fung von empfangenen STORK SAML Nachrichten herangezogen werden soll.
- In der Konfiguration wird eine Unterscheidung zwischen Signaturerstellungs- und Signaturverifizierungsparameter getroffen:
- <ul>
- <li><tt>&lt;SignatureCreationParameter&gt;</tt>
- <br />
- </li>
- <li><tt>&lt;SignatureVerificationParameter&gt;</tt>
- <br />
- </li>
- </ul>
- Der <tt>&lt;SignatureCreationParameter&gt;</tt> kapselt dabei Informationen, welche zum Signieren von ausgehenden STORK SAML Nachrichten ben&ouml;tigt werden. Im Wesentlichen sind das Informationen zu dem KeyStore, welcher das Schl&uuml;sselpaar zum Signieren ausgehender STORK SAML Nachrichten beinhaltet. Der entsprechende Konfigurationseintrag sieht wie folgt aus:
+ &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/fiscalNumber" <br> isRequired="true" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/&gt;
+&lt;/C-PEPS&gt; </pre>
+<p>Details zur Angabe von <tt>&lt;stork:RequestedAttribute&gt;</tt> bzw. welche Attribute von STORK &uuml;berhaupt unterst&uuml;tzt werden, wird in der Konfiguration zur Online Application angegeben (<a href="#OnlineApplication/AuthComponent/STORK">hier</a>).</p>
+<p><b>AuthComponent/ForeignIdentities/STORK/SAMLSigningParameter</b> <br />
+ Dieser Konfigurationseintrag enth&auml;lt Informationen dazu, mit welchem Zertifikat ausgehende STORK SAML Nachichten signiert werden und welches MOA-SP TrustProfil zur Signatur&uuml;berpr&uuml;fung von empfangenen STORK SAML Nachrichten herangezogen werden soll.
+ In der Konfiguration wird eine Unterscheidung zwischen Signaturerstellungs- und Signaturverifizierungsparameter getroffen:
+<ul>
+ <li><tt>&lt;SignatureCreationParameter&gt;</tt> <br />
+ </li>
+ <li><tt>&lt;SignatureVerificationParameter&gt;</tt> <br />
+ </li>
+</ul>
+<p>Der <tt>&lt;SignatureCreationParameter&gt;</tt> kapselt dabei Informationen, welche zum Signieren von ausgehenden STORK SAML Nachrichten ben&ouml;tigt werden. Im Wesentlichen sind das Informationen zu dem KeyStore, welcher das Schl&uuml;sselpaar zum Signieren ausgehender STORK SAML Nachrichten beinhaltet. Der entsprechende Konfigurationseintrag sieht wie folgt aus:</p>
<pre>
&lt;SignatureCreationParameter&gt;
&lt;KeyStore password="Keystore Pass"&gt;file_to_keystore&lt;/KeyStore&gt;
&lt;KeyName password="Keystore Name"&gt;signing_key_name&lt;/KeyName&gt;
&lt;/SignatureCreationParameter&gt;
-</pre>
- Die folgenden Werte sind dabei anzugeben bzw. durch echte Werte auszutauschen:
- <ul>
- <li><tt>file_to_keystore</tt>: Relativer Pfad zum KeyStore (Java oder PKCS#12), welcher das Schl&uuml;sselpaar zum Signieren ausgehender STORK SAML Nachrichten speichert
- <br />
- </li>
- <li><tt>Keystore Pass</tt>: Passwort zum angegebenen KeyStore
- <br />
- </li>
- <li><tt>signing_key_name</tt>: Alias Name des Schl&uuml;ssels, welcher zum Signieren verwendet werden soll
- <br />
- </li>
- <li><tt>Key Pass</tt>: Passwort zum angegebenen Schl&uuml;ssel
- <br />
- </li>
- </ul>
- Der <tt>&lt;SignatureCreationParameter&gt;</tt> kapselt dabei Informationen, die f&uuml;r eine Signaturpr&uuml;fung von eingehenden STORK SAML Nachrichten ben&ouml;tigt werden. Im Wesentlich ist das die Angabe des MOA-SP TrustProfils, welches die vertrauensw&uuml;rdigen Zertifikate der europ&auml;ischen C-PEPS enth&auml;lt. Der entsprechende Konfigurationseintrag sieht daher wie folgt aus:
+</pre>
+Die folgenden Werte sind dabei anzugeben bzw. durch echte Werte auszutauschen:
+<ul>
+ <li><tt>file_to_keystore</tt>: Relativer Pfad zum KeyStore (Java oder PKCS#12), welcher das Schl&uuml;sselpaar zum Signieren ausgehender STORK SAML Nachrichten speichert <br />
+ </li>
+ <li><tt>Keystore Pass</tt>: Passwort zum angegebenen KeyStore <br />
+ </li>
+ <li><tt>signing_key_name</tt>: Alias Name des Schl&uuml;ssels, welcher zum Signieren verwendet werden soll <br />
+ </li>
+ <li><tt>Key Pass</tt>: Passwort zum angegebenen Schl&uuml;ssel <br />
+ </li>
+</ul>
+<p>Der <tt>&lt;SignatureCreationParameter&gt;</tt> kapselt dabei Informationen, die f&uuml;r eine Signaturpr&uuml;fung von eingehenden STORK SAML Nachrichten ben&ouml;tigt werden. Im Wesentlich ist das die Angabe des MOA-SP TrustProfils, welches die vertrauensw&uuml;rdigen Zertifikate der europ&auml;ischen C-PEPS enth&auml;lt. Der entsprechende Konfigurationseintrag sieht daher wie folgt aus:</p>
<pre>
&lt;SignatureVerificationParameter&gt;
&lt;TrustProfileID&gt;C-PEPS&lt;/TrustProfileID&gt;
&lt;/SignatureVerificationParameter&gt;
-</pre>
+</pre>
Die folgenden Werte sind dabei anzugeben:
- <ul>
- <li><tt>TrustProfile</tt>: Dieser Eintrag gibt jenes TrustProfil von MOA-SP an, welches zur Signaturpr&uuml;fung von eingehenden STORK SAML Nachrichten herangezogen werden soll. Vorkonfiguriert sind die beiden TrustProfiles <tt>C-PEPS</tt> (Produktive C-PEPS Zertifikate) und <tt>C-PEPS-Test</tt> (Test C-PEPS Zertifikate). Sollte es auch hier zu &Auml;nderungen kommen, werden diese auch via JoinUp (<a href="https://joinup.ec.europa.eu/software/moa-idspss/home" target="_new">MOA@JoinUp</a>) bzw. MOA-Mailingliste ver&ouml;ffentlicht.
- <br />
- </li>
- </ul>
-
- <p><b><div id="AuthComponent_OnlineMandates">AuthComponent/OnlineMandates</div></b> <br />
+<ul>
+ <li><tt>TrustProfile</tt>: Dieser Eintrag gibt jenes TrustProfil von MOA-SP an, welches zur Signaturpr&uuml;fung von eingehenden STORK SAML Nachrichten herangezogen werden soll. Vorkonfiguriert sind die beiden TrustProfiles <tt>C-PEPS</tt> (Produktive C-PEPS Zertifikate) und <tt>C-PEPS-Test</tt> (Test C-PEPS Zertifikate). Sollte es auch hier zu &Auml;nderungen kommen, werden diese auch via JoinUp (<a href="https://joinup.ec.europa.eu/software/moa-idspss/home" target="_new">TODO MOA@JoinUp</a>) bzw. MOA-Mailingliste ver&ouml;ffentlicht. <br />
+ </li>
+</ul>
+<p id="AuthComponent_OnlineMandates">
+<b>AuthComponent/OnlineMandates</b>
+<br />
Ab Version 1.5.0 bietet MOA-ID die M&ouml;glichkeit der Nutzung von Online-Vollmachten f&uuml;r Anwendungen aus dem &ouml;ffentlichen Bereich. Hierf&uuml;r ist ein Online-Vollmachten-Service n&ouml;tig. Es ist hierzu ein ensprechender <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> zu definieren, der die Zugangsdaten zum Online-Vollmachten-Service bereith&auml;lt (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>). In der Default-Konfiguration ist der Zugang zum Online-Vollmachten-Service bereits aktiviert. Es muss nur noch das Client-Zertifikat f&uuml;r die SSL-Verbinung zum Service angegeben werden. Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben.<br />
Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu aktivieren, m&uuml;ssen Sie das Vollmachten Profil angeben - siehe <a href="#OnlineApplication/AuthComponent/Mandates">hier</a>.
-
- </p>
-<p id="block"> <b>ProxyComponent</b> <br />
- <tt>ProxyComponent</tt> enth&auml;lt Parameter, die
- nur die MOA-ID Proxykomponente betreffen. Das Element
- ist optional und muss nicht verwendet werden, wenn auf
- dem Server keine MOA-ID Proxykomponente installiert
- wird. <br />
- <br />
- Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element
- <tt>AuthComponent</tt>, das die Verbindung zur Authentisierungs-komponente
- beschreibt. <br />
- <br />
- Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
- &uuml;ber ein Webservice auf, dann muss das Element
- <tt>ConnectionParameter</tt> spezifiziert werden. <br />
- <br />
- Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
- &uuml;ber das API auf, dann wird das Element <tt>ConnectionParameter</tt>
- nicht spezifiziert. </p>
- <div id="OnlineApplication" />
- <p id="block"> <b>OnlineApplication</b> <br />
- F&uuml;r jede Online-Applikation, die &uuml;ber MOA-ID
- authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>.
- Die Parameter betreffen teils die MOA-ID Authentisierungskomponente,
- teils die MOA-ID Proxykomponente, teils beide. <br />
- <br />
- Das ab Version 1.3 optionale Attribut <tt>OnlineApplication/@type</tt>
- spezifiziert den Typ der OnlineApplikation und kann
- die Werte <tt>publicService</tt> f&uuml;r eine Applikation
- aus dem &ouml;ffentlichen Bereich und <tt>businessService</tt>
- f&uuml;r eine Anwendung aus dem privatwirtschaftlichen Bereich annehmen.
- Ab Version 1.4 kann im Modus <tt>businessService</tt> ein zus&auml;tzliches
- logisches Attribut <tt>OnlineApplication/@calculateHPI</tt> angegeben werden.
- Dadurch wird im Falle von <tt>calculateHPI="true"</tt> im privatwirtschaftlichen
- Bereich zur Identifikation der Health Professional Identifier HPI anstatt des wbPKs (siehe
- <a href="#OnlineApplication/AuthComponent/IdentificationNumber">
- OnlineApplication/AuthComponent/IdentificationNumber</a>) berechnet
- und zur Anmeldung weiterverwendet.
- Ist dieses Attribut nicht gesetzt, so wird der Typ <tt>publicService</tt>
- vorausgesetzt. <br />
- <br />
- Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt>
- entspricht dem URL-Pr&auml;fix der nach au&szlig;en
- sichtbaren Dom&auml;ne der Online-Applikation, welcher
- von der MOA-ID Proxykomponente durch den URL-Pr&auml;fix
- der wirklichen Dom&auml;ne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>)
- ersetzt wird. Es dient als Schl&uuml;ssel zum Auffinden
- der Konfigurationsparameter zur Online-Applikation. </p>
- <p>Mit dem Attribut <tt>OnlineApplication/@friendlyName</tt> kann eine benutzerfreundlicher Name f&uuml;r die Online-Applikation angegeben werden. Dieser Name scheint beim Login des Benutzer auf.</p>
- <p>Das Attribut <tt>OnlineApplication/@keyBoxIdentifier</tt> gibt das Schl&uuml;sselpaar an, welches von der B&uuml;rgerkartenumgebung
- zum Signieren des Auth Blocks verwendet wird. M&ouml;gliche
- Werte: <tt>CertifiedKeypair </tt>sowie<tt> SecureSignatureKeypair.</tt></p>
- <p>Das Attribut <tt>OnlineApplication/@target</tt> gibt einen konkreten Gesch&auml;ftsbereich f&uuml;r eine Online-Applikation vor. D.h. es wird der Target-Parameter aus dem Request mit diesem Wert &uuml;berschrieben. Zus&auml;tzlich kann noch ein benutzerfreundlicher Name mittels des Attributs <tt>OnlineApplication/@targetFriendlyName</tt> f&uuml;r den Gesch&auml;ftsbereich angegeben werden. Beide Attribute k&ouml;nnen nur bei einer Online-Applikation f&uuml;r den &ouml;ffentlichen Bereich angegeben werden.<br>
- </tt><br />
- Das Element <tt>OnlineApplication</tt> hat optional
- zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>. </p>
-<div id="OnlineApplication/AuthComponent" />
- <p id="block"> <b>OnlineApplication/AuthComponent</b>
- <br />
- Das Element <tt>OnlineApplication/AuthComponent</tt>
- muss verwendet werden wenn auf dem Server die Authentisierungskomponente
- installiert wird. Es enth&auml;lt Parameter, die
- das Verhalten der Authentisierungskomponente bez&uuml;glich
- der Online-Applikation konfiguriert. <br />
- <br />
- Das optionale Attribut <tt>slVersion</tt> definiert die Version des
- verwendeten SecurityLayer und damit den Namespace aller
- Requests, die von MOA-ID an die B&uuml;rgerkartenumgebung
- geschickt werden. Dieses Attribut kann entweder den Wert <tt>1.1</tt>
- oder <tt>1.2</tt> annehmen. Fehlt das Attribut, so wird als
- Defaultwert <tt>1.1</tt> gesetzt.
- <br />Wurde als Typ der Online-Applikation
- der Wert <tt>businessService</tt> (vgl. Attribut <tt>OnlineApplication/@type</tt>)
- spezifiziert, so wird das Attribut <tt>slVersion</tt> ignoriert
- und immer der Wert <tt>1.2</tt> verwendet, da die f&uuml;r
- Applikationen aus dem privatwirtschaftlichen Bereich notwendige
- Berechnung des <tt>wirtschaftsbereichsspezifischen Personenkennzeichens</tt>
- (<tt>wbPK</tt>) erst ab SecurityLayer Version <tt>1.2</tt> m&ouml;glich ist.
- <br /><br />
- Das Attribut <tt id="provideStammzahlOA">provideStammzahl</tt> bestimmt,
- ob die Stammzahl in den Anmeldedaten aufscheint
- oder ob der Wert ausgeblendet (d.h. auf den Leerstring gesetzt)
- wird. Die Attribute <tt>provideAUTHBlock</tt> und
- <tt id="provideIdentityLinkOA">provideIdentityLink</tt> steuern, ob die
- Anmeldedaten den Auth-Block bzw. die Personenbindung enthalten.
- Ab Version 1.3 kann das Attribut <tt>provideCertificate</tt>
- verwendet werden, um das Signatorzertifikat in die
- Anmeldedaten aufzunehmen.
- Alle Attribute sind optional und haben den Default-Wert
- <tt>false</tt>. <br>
- Das Attribut <tt id="provideStammzahlOA2">provideFullMandatorData</tt> bestimmt ob bei einer Vollmachten-Anmeldung die vollst&auml;ndigen Vollmacht in der SAML Assertion mitgegeben wird oder nur die Basisdaten wie Name, Geburtsdatum und bPK des Vertreters (bzw. Organwalter/PV) sowie Name, Geburtsdatum und bPK (bzw. Name und Stammzahl bei juristischen Personen) des Vertretenen in der Assertion &uuml;bermittelt. Bei <tt id="provideStammzahlOA3">provideFullMandatorData=false</tt> werden nur die Basisdaten &uuml;bermittelt (Defaulteinstellung). Bei <tt id="provideStammzahlOA4">provideFullMandatorData=true</tt> wird zus&auml;tzlich die gesamte Vollmacht &uuml;bergeben.<br>
- Das Attribut <tt id="provideStammzahlOA5">useUTC</tt> bestimmt ob IssueInstant in der SAML Assertion als UTC (2012-01-26T18:38:35Z, <tt id="provideStammzahlOA8">useUTC=true</tt>) oder dem Default-Format (z.B.: 2012-01-26T19:38:35+01:00, <tt id="provideStammzahlOA9">useUTC=false</tt>) angegeben wird. </p>
- <p><b>Anmerkung</b>: Das Attribut <tt>provideStammzahl</tt> steht in keinem
- Zusammenhang zum gleichnamigen Attribut
- <a href="#provideStammzahlVI">VerifyInfoboxes/@provideStammzahl</a>,
- das angibt ob die Stammzahl an eine <i>Pr&uuml;fapplikation</i> weitergegeben
- werden darf.
- <b>Anmerkung</b>: Das Attribut <tt>provideIdentityLink</tt> steht in keinem
- Zusammenhang zum gleichnamigen Attribut
- <a href="#provideIdentityLinkVI">VerifyInfoboxes/@provideIdentityLink</a>,
- das angibt ob die Personenbindung an eine <i>Pr&uuml;fapplikation</i>
- weitergegeben werden soll.
- <br />
- <br />
- </p>
-<div id="OnlineApplication/AuthComponent/IdentificationNumber" />
- <p id="block"> <b>OnlineApplication/AuthComponent/IdentificationNumber</b>
+</p>
+<p> <b>ProxyComponent</b> <br />
+ <tt>ProxyComponent</tt> enth&auml;lt Parameter, die
+ nur die MOA-ID Proxykomponente betreffen. Das Element
+ ist optional und muss nicht verwendet werden, wenn auf
+ dem Server keine MOA-ID Proxykomponente installiert
+ wird. </p>
+<p> Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element <tt>AuthComponent</tt>, das die Verbindung zur Authentisierungs-komponente
+ beschreibt. </p>
+<p>Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
+ &uuml;ber ein Webservice auf, dann muss das Element <tt>ConnectionParameter</tt> spezifiziert werden. </p>
+<p> Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
+ &uuml;ber das API auf, dann wird das Element <tt>ConnectionParameter</tt> nicht spezifiziert. </p>
+<p id="OnlineApplication"> <b>OnlineApplication</b> <br />
+ F&uuml;r jede Online-Applikation, die &uuml;ber MOA-ID
+ authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>.
+ Die Parameter betreffen teils die MOA-ID Authentisierungskomponente,
+ teils die MOA-ID Proxykomponente, teils beide. </p>
+<p>Das ab Version 1.3 optionale Attribut <tt>OnlineApplication/@type</tt> spezifiziert den Typ der OnlineApplikation und kann
+ die Werte <tt>publicService</tt> f&uuml;r eine Applikation
+ aus dem &ouml;ffentlichen Bereich und <tt>businessService</tt> f&uuml;r eine Anwendung aus dem privatwirtschaftlichen Bereich annehmen.
+ Ab Version 1.4 kann im Modus <tt>businessService</tt> ein zus&auml;tzliches
+ logisches Attribut <tt>OnlineApplication/@calculateHPI</tt> angegeben werden.
+ Dadurch wird im Falle von <tt>calculateHPI="true"</tt> im privatwirtschaftlichen
+ Bereich zur Identifikation der Health Professional Identifier HPI anstatt des wbPKs (siehe <a href="#OnlineApplication/AuthComponent/IdentificationNumber"> OnlineApplication/AuthComponent/IdentificationNumber</a>) berechnet
+ und zur Anmeldung weiterverwendet.
+ Ist dieses Attribut nicht gesetzt, so wird der Typ <tt>publicService</tt> vorausgesetzt. </p>
+<p>Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt> entspricht dem URL-Pr&auml;fix der nach au&szlig;en
+ sichtbaren Dom&auml;ne der Online-Applikation, welcher
+ von der MOA-ID Proxykomponente durch den URL-Pr&auml;fix
+ der wirklichen Dom&auml;ne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>)
+ ersetzt wird. Es dient als Schl&uuml;ssel zum Auffinden
+ der Konfigurationsparameter zur Online-Applikation. </p>
+<p>Mit dem Attribut <tt>OnlineApplication/@friendlyName</tt> kann eine benutzerfreundlicher Name f&uuml;r die Online-Applikation angegeben werden. Dieser Name scheint beim Login des Benutzer auf.</p>
+<p>Das Attribut <tt>OnlineApplication/@keyBoxIdentifier</tt> gibt das Schl&uuml;sselpaar an, welches von der B&uuml;rgerkartenumgebung
+ zum Signieren des Auth Blocks verwendet wird. M&ouml;gliche
+ Werte: <tt>CertifiedKeypair </tt>sowie<tt> SecureSignatureKeypair.</tt></p>
+<p>Das Attribut <tt>OnlineApplication/@target</tt> gibt einen konkreten Gesch&auml;ftsbereich f&uuml;r eine Online-Applikation vor. D.h. es wird der Target-Parameter aus dem Request mit diesem Wert &uuml;berschrieben. Zus&auml;tzlich kann noch ein benutzerfreundlicher Name mittels des Attributs <tt>OnlineApplication/@targetFriendlyName</tt> f&uuml;r den Gesch&auml;ftsbereich angegeben werden. Beide Attribute k&ouml;nnen nur bei einer Online-Applikation f&uuml;r den &ouml;ffentlichen Bereich angegeben werden.</p>
+<p>Das Element <tt>OnlineApplication</tt> hat optional
+ zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>. </p>
+<p id="OnlineApplication/AuthComponent"> <b>OnlineApplication/AuthComponent</b> <br />
+ Das Element <tt>OnlineApplication/AuthComponent</tt> muss verwendet werden wenn auf dem Server die Authentisierungskomponente
+ installiert wird. Es enth&auml;lt Parameter, die
+ das Verhalten der Authentisierungskomponente bez&uuml;glich
+ der Online-Applikation konfiguriert. </p>
+<p>Das optionale Attribut <tt>slVersion</tt> definiert die Version des
+ verwendeten SecurityLayer und damit den Namespace aller
+ Requests, die von MOA-ID an die B&uuml;rgerkartenumgebung
+ geschickt werden. Dieses Attribut kann entweder den Wert <tt>1.1</tt> oder <tt>1.2</tt> annehmen. Fehlt das Attribut, so wird als
+ Defaultwert <tt>1.1</tt> gesetzt. <br />
+ Wurde als Typ der Online-Applikation
+ der Wert <tt>businessService</tt> (vgl. Attribut <tt>OnlineApplication/@type</tt>)
+ spezifiziert, so wird das Attribut <tt>slVersion</tt> ignoriert
+ und immer der Wert <tt>1.2</tt> verwendet, da die f&uuml;r
+ Applikationen aus dem privatwirtschaftlichen Bereich notwendige
+ Berechnung des <tt>wirtschaftsbereichsspezifischen Personenkennzeichens</tt> (<tt>wbPK</tt>) erst ab SecurityLayer Version <tt>1.2</tt> m&ouml;glich ist. </p>
+<p>Das Attribut <tt id="provideStammzahlOA">provideStammzahl</tt> bestimmt,
+ ob die Stammzahl in den Anmeldedaten aufscheint
+ oder ob der Wert ausgeblendet (d.h. auf den Leerstring gesetzt)
+ wird. Die Attribute <tt>provideAUTHBlock</tt> und <tt id="provideIdentityLinkOA">provideIdentityLink</tt> steuern, ob die
+ Anmeldedaten den Auth-Block bzw. die Personenbindung enthalten.
+ Ab Version 1.3 kann das Attribut <tt>provideCertificate</tt> verwendet werden, um das Signatorzertifikat in die
+ Anmeldedaten aufzunehmen.
+ Alle Attribute sind optional und haben den Default-Wert <tt>false</tt>. <br>
+ Das Attribut <tt id="provideStammzahlOA2">provideFullMandatorData</tt> bestimmt ob bei einer Vollmachten-Anmeldung die vollst&auml;ndigen Vollmacht in der SAML Assertion mitgegeben wird oder nur die Basisdaten wie Name, Geburtsdatum und bPK des Vertreters (bzw. Organwalter/PV) sowie Name, Geburtsdatum und bPK (bzw. Name und Stammzahl bei juristischen Personen) des Vertretenen in der Assertion &uuml;bermittelt. Bei <tt id="provideStammzahlOA3">provideFullMandatorData=false</tt> werden nur die Basisdaten &uuml;bermittelt (Defaulteinstellung). Bei <tt id="provideStammzahlOA4">provideFullMandatorData=true</tt> wird zus&auml;tzlich die gesamte Vollmacht &uuml;bergeben.<br>
+ Das Attribut <tt id="provideStammzahlOA5">useUTC</tt> bestimmt ob IssueInstant in der SAML Assertion als UTC (2012-01-26T18:38:35Z, <tt id="provideStammzahlOA8">useUTC=true</tt>) oder dem Default-Format (z.B.: 2012-01-26T19:38:35+01:00, <tt id="provideStammzahlOA9">useUTC=false</tt>) angegeben wird. </p>
+<p><b>Anmerkung</b>: Das Attribut <tt>provideStammzahl</tt> steht in keinem
+ Zusammenhang zum gleichnamigen Attribut <a href="#provideStammzahlVI">VerifyInfoboxes/@provideStammzahl</a>,
+ das angibt ob die Stammzahl an eine <i>Pr&uuml;fapplikation</i> weitergegeben
+ werden darf. <b>Anmerkung</b>: Das Attribut <tt>provideIdentityLink</tt> steht in keinem
+ Zusammenhang zum gleichnamigen Attribut <a href="#provideIdentityLinkVI">VerifyInfoboxes/@provideIdentityLink</a>,
+ das angibt ob die Personenbindung an eine <i>Pr&uuml;fapplikation</i> weitergegeben werden soll. </p>
+<p id="OnlineApplication/AuthComponent/IdentificationNumber"> <b>OnlineApplication/AuthComponent/IdentificationNumber</b> <br />
+ Das <tt>wirtschaftsbereichsspezifische Personenkennzeichen</tt> (<tt>wbPK</tt>)
+ wird aus der auf der B&uuml;rgerkarte gespeicherten Stammzahl des B&uuml;rgers
+ und der Stammzahl des Wirtschaftsunternehmens berechnet.
+ Laut <a href="http://reference.e-government.gv.at/E-Government-Gesetz.394.0.html" target="_new">E-Governmentgesetz</a> darf die <i>Errechnung eines wbPK aus der Stammzahl nicht beim Auftraggeber eines
+ privaten Bereichs durchgef&uuml;hrt werden</i> (vgl. E-GovGesetz &sect;12(1).4), und muss deshalb
+ an die B&uuml;rgerkartenumgebung ausgelagert werden.
+ Das <tt>OnlineApplication/AuthComponent/IdentificationNumber</tt> Element
+ wird nun verwendet, um die Stammzahl des Wirtschaftsunternehmens zu spezifizieren,
+ welche in weiterer Folge von MOA-ID an die B&uuml;rgerkartenumgebung &uuml;bergeben
+wird.
+<p>Dieses Element muss bei privatwirtschaftlichen Applikationen
+ vorhanden sein und wird ignoriert, falls es im Kontext von Anwendungen aus
+dem &ouml;ffentlichen Bereich verwendet wird.
+<p>Das Element hat genau eines der folgenden m&ouml;glichen Kindelemente
+ aus dem <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a> Namespace, die als einzigen Inhalt die jeweilige Stammzahl des Unternehmens enthalten:
+<ul>
+ <li> Das Element <tt>pr:Firmenbuchnummer</tt> enth&auml;lt als einzigen Inhalt
+ die Firmenbuchnummer des Unternehmens. </li>
+ <li> Das Element <tt>pr:Vereinsnummer</tt> enth&auml;lt als einzigen Inhalt
+ die Vereinsregisternummer des Unternehmens. </li>
+ <li> Das Element <tt>pr:ERJPZahl</tt> enth&auml;lt als einzigen Inhalt eine
+ Zahl aus dem Erg&auml;nzungsregister f&uuml;r nicht-nat&uuml;rliche Personen (CorporateBody). </li>
+ <li> Das Element <tt>pr:ZMRzahl</tt> enth&auml;lt als einzigen Inhalt eine
+ Stammzahl einer nat&uuml;rlichen in &Ouml;sterreich meldepflichtigen Person. </li>
+</ul>
+<p>Die Stammzahl ist jeweils ohne Pr&auml;fix anzugeben, also wird zum Beispiel
+ die Firmenbuchnummer <tt>FN468924i</tt> folgenderma&szlig;en definiert: <br />
<br />
- Das <tt>wirtschaftsbereichsspezifische Personenkennzeichen</tt> (<tt>wbPK</tt>)
- wird aus der auf der B&uuml;rgerkarte gespeicherten Stammzahl des B&uuml;rgers
- und der Stammzahl des Wirtschaftsunternehmens berechnet.
- Laut <a href="http://reference.e-government.gv.at/E-Government-Gesetz.394.0.html" target="_new">E-Governmentgesetz</a>
- darf die <i>Errechnung eines wbPK aus der Stammzahl nicht beim Auftraggeber eines
- privaten Bereichs durchgef&uuml;hrt werden</i> (vgl. E-GovGesetz &sect;12(1).4), und muss deshalb
- an die B&uuml;rgerkartenumgebung ausgelagert werden.
- Das <tt>OnlineApplication/AuthComponent/IdentificationNumber</tt> Element
- wird nun verwendet, um die Stammzahl des Wirtschaftsunternehmens zu spezifizieren,
- welche in weiterer Folge von MOA-ID an die B&uuml;rgerkartenumgebung &uuml;bergeben
- wird.<br /> Dieses Element muss bei privatwirtschaftlichen Applikationen
- vorhanden sein und wird ignoriert, falls es im Kontext von Anwendungen aus
- dem &ouml;ffentlichen Bereich verwendet wird. <br />
- Das Element hat genau eines der folgenden m&ouml;glichen Kindelemente
- aus dem <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a>
- Namespace, die als einzigen Inhalt die jeweilige Stammzahl des Unternehmens enthalten:
- <ul>
- <li>
- Das Element <tt>pr:Firmenbuchnummer</tt> enth&auml;lt als einzigen Inhalt
- die Firmenbuchnummer des Unternehmens.
- </li>
- <li>
- Das Element <tt>pr:Vereinsnummer</tt> enth&auml;lt als einzigen Inhalt
- die Vereinsregisternummer des Unternehmens.
- </li>
- <li>
- Das Element <tt>pr:ERJPZahl</tt> enth&auml;lt als einzigen Inhalt eine
- Zahl aus dem Erg&auml;nzungsregister f&uuml;r nicht-nat&uuml;rliche Personen (CorporateBody).
- </li>
- <li>
- Das Element <tt>pr:ZMRzahl</tt> enth&auml;lt als einzigen Inhalt eine
- Stammzahl einer nat&uuml;rlichen in &Ouml;sterreich meldepflichtigen Person.
- </li>
- </ul>
-
- Die Stammzahl ist jeweils ohne Pr&auml;fix anzugeben, also wird zum Beispiel
- die Firmenbuchnummer <tt>FN468924i</tt> folgenderma&szlig;en definiert:
- <br /> <br />
- <tt>&lt;pr:Firmenbuchnummer&gt;468924i&lt;/pr:Firmenbuchnummer&gt;</tt>
- <br /><br />
- Leerzeichen werden ignoriert und im Falle einer Firmenbuchnummer werden
- f&uuml;hrende Nullen gel&ouml;scht und Bindestriche aus der Nummer entfernt.
- <br /><br />
- Beispiele:<br />
- <blockquote>
- <tt>468924 i</tt> wird zu <tt>468924i</tt><br />
- <tt>00468924</tt> wird zu <tt>468924i</tt><br />
- <tt>468924-i</tt> wird zu <tt>468924i</tt><br />
- </blockquote>
- Alternativ zu den oben angef&uuml;hrten Elementen aus dem
- <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a>
- Namespace kann auch das Element <tt>AnyNumber</tt> verwendet werden, um
+<tt>&lt;pr:Firmenbuchnummer&gt;468924i&lt;/pr:Firmenbuchnummer&gt;</tt> </p>
+<p> Leerzeichen werden ignoriert und im Falle einer Firmenbuchnummer werden
+ f&uuml;hrende Nullen gel&ouml;scht und Bindestriche aus der Nummer entfernt. </p>
+<p> Beispiele:</p>
+<blockquote> <tt>468924 i</tt> wird zu <tt>468924i</tt><br />
+ <tt>00468924</tt> wird zu <tt>468924i</tt><br />
+<tt>468924-i</tt> wird zu <tt>468924i</tt></blockquote>
+<p>Alternativ zu den oben angef&uuml;hrten Elementen aus dem <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a> Namespace kann auch das Element <tt>AnyNumber</tt> verwendet werden, um
Stammzahlen zu spezifizieren, die nicht einer der vier oben aufgelisteten
- Kategorien zugeordnet werden k&ouml;nnen.
- <br></br>
- Das Element <tt>AnyNumber</tt> hat genau ein Attribut namens <tt>Identifier</tt>,
+Kategorien zugeordnet werden k&ouml;nnen. </p>
+<p>Das Element <tt>AnyNumber</tt> hat genau ein Attribut namens <tt>Identifier</tt>,
das das Pr&auml;fix der jeweiligen Stammzahl ent&auml;lt. Der Inhalt des
Elements <tt>AnyNumber</tt> ist die Stammzahl selbst, wobei die selben Regeln
- wie oben gelten.
- <br></br>
- Die Firmenbuchnummer aus obigem Beispiel k&ouml;nnte man nun beispielsweise mit Hilfe das Elements
- <tt>AnyNumber</tt> auch folgenderma&szlig;en definieren:
- <br></br>
- <tt>&lt;AnyNumber Identifier="FN"&gt;468924i&lt;/AnyNumber&gt;</tt>
- <br></br>
- Es sei aber nochmals daraufhingewiesen, dass f&uuml;r Stammzahlen der
- Kategorien <tt>Firmenbuchnummer</tt>, <tt>Vereinsnummer</tt>,
- <tt>ERJPZahl</tt> und <tt>ZMRzahl</tt> die vordefinierten Elemente aus
- dem <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a>
- Namespace verwendet werden sollen. Das Element <tt>AnyNumber</tt> wurde haupts&auml;chlich in
- das Schema aufgenommen, um offen f&uuml;r m&ouml;gliche Erweiterungen zu sein.
- </p>
- <div id="OnlineApplication/AuthComponent/Templates" />
- <p id="block"> <b>OnlineApplication/AuthComponent/Templates</b>
- <br />
- Dieses Kindelement kann genau einmal vorkommen und entspricht in seiner Struktur dem
- Element <a href="#AuthTemplates" target="_new">AuthComponent/Templates</a>.
- Es kann verwendet werden, um Templates zur Gestaltung der Seiten
- &quot;Auswahl der B&uuml;rgerkartenumgebung&quot; und &quot;Anmeldung mit B&uuml;rgerkarte&quot; individuell f&uuml;r
- eine Online-Applikation zu definieren. Die hier definierten Templates haben
- Priorit&auml;t gegen&uuml;ber globalen Templates und Templates, die
- in der aufrufenden URL &uuml;bergeben werden.
- </p>
- </div>
+wie oben gelten.</p>
+<p>Die Firmenbuchnummer aus obigem Beispiel k&ouml;nnte man nun beispielsweise mit Hilfe das Elements <tt>AnyNumber</tt> auch folgenderma&szlig;en definieren: <br>
+ </br>
+<tt>&lt;AnyNumber Identifier="FN"&gt;468924i&lt;/AnyNumber&gt;</tt> </p>
+<p>Es sei aber nochmals daraufhingewiesen, dass f&uuml;r Stammzahlen der
+ Kategorien <tt>Firmenbuchnummer</tt>, <tt>Vereinsnummer</tt>, <tt>ERJPZahl</tt> und <tt>ZMRzahl</tt> die vordefinierten Elemente aus
+ dem <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a> Namespace verwendet werden sollen. Das Element <tt>AnyNumber</tt> wurde haupts&auml;chlich in
+ das Schema aufgenommen, um offen f&uuml;r m&ouml;gliche Erweiterungen zu sein.
+ </p>
+</p>
+<p id="OnlineApplication/AuthComponent/Templates"> <b>OnlineApplication/AuthComponent/Templates</b> <br />
+ Dieses Kindelement kann genau einmal vorkommen und entspricht in seiner Struktur dem
+ Element <a href="#AuthTemplates" target="_new">AuthComponent/Templates</a>.
+ Es kann verwendet werden, um Templates zur Gestaltung der Seiten
+ &quot;Auswahl der B&uuml;rgerkartenumgebung&quot; und &quot;Anmeldung mit B&uuml;rgerkarte&quot; individuell f&uuml;r
+ eine Online-Applikation zu definieren. Die hier definierten Templates haben
+ Priorit&auml;t gegen&uuml;ber globalen Templates und Templates, die
+in der aufrufenden URL &uuml;bergeben werden. </p>
- <div id="OnlineApplication/AuthComponent/TransformsInfo" />
- <p id="block"> <b>OnlineApplication/AuthComponent/TransformsInfo</b>
+ <p id="OnlineApplication/AuthComponent/TransformsInfo"> <b>OnlineApplication/AuthComponent/TransformsInfo</b>
<br />
Dieses Kindelement kann mehrfach vorkommen und entspricht in seiner Struktur
dem Element <tt>AuthComponent/SecurityLayer/TransformsInfo</tt>.
@@ -804,35 +535,33 @@ Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu akt
F&uuml;r alle Applkikationen, die kein Kindelement vom Typ
<tt>AuthComponent/TransformsInfo</tt> enthalten, werden die unter
<tt>AuthComponent/SecurityLayer/TransformsInfo</tt> spezifizierten
- &quot;Default-Transformationen&quot; verwendet. <br />
- Dabei ist zu beachten, dass f&uuml;r jede definierte Transformation
+ &quot;Default-Transformationen&quot; verwendet. </p>
+<p>Dabei ist zu beachten, dass f&uuml;r jede definierte Transformation
ein entsprechendes <tt>MOA-SP/VerifyAuthBlock/VerifyTransformsInfoProfileID</tt>
Element vorhanden sein muss.</p>
</p>
- </div>
- <div id="VerifyInfoboxesOA" >
- <p id="block"> <b>OnlineApplication/AuthComponent/VerifyInfoboxes</b>
+
+ <p id="VerifyInfoboxesOA"> <b>OnlineApplication/AuthComponent/VerifyInfoboxes</b>
<br />
Dieses optionale Element entspricht dem <a href="#VerifyInfoboxesAuth">VerifyInfoboxes</a>-Element
aus der globalen AUTH-Komponente und &uuml;berschreibt teilweise die
dort gesetzten Werte f&uuml;r die jeweilige Infobox pro Online-Applikation.
Dabei gelten die folgenden Regeln:
- <br />
- Ist nur das globale <a href="#VerifyInfoboxesAuth">VerifyInfoboxes</a>-Element
+<p>Ist nur das globale <a href="#VerifyInfoboxesAuth">VerifyInfoboxes</a>-Element
vorhanden, so gelten die dort definierten Parameter f&uuml;r <b>alle</b>
- Online-Applikationen. Ist kein globales Element vorhanden, so kann
- MOA-ID f&uuml;r alle Online-Applikation, in deren AUTH-Komponente
+ Online-Applikationen. Ist kein globales Element vorhanden, so kann
+ MOA-ID f&uuml;r alle Online-Applikation, in deren AUTH-Komponente
ein <tt>VerifyInfoboxes</tt>-Element enthalten ist, die darin
definierten Infoboxen &uuml;berpr&uuml;fen. F&uuml;r
Online-Applikationen, in deren AUTH-Komponente kein
- <tt>VerifyInfoboxes</tt>-Element gesetzt ist, kann demnach keine
+ <tt>VerifyInfoboxes</tt>-Element gesetzt ist, kann demnach keine
andere Infobox als die der Personenbindung validiert werden.
- <br />
- Sind sowohl global (<tt>MOA-IDConfiguration/AuthComponent/VerifyInfoboxes</tt>)
+ <br />
+ Sind sowohl global (<tt>MOA-IDConfiguration/AuthComponent/VerifyInfoboxes</tt>)
als auch lokal (<tt>OnlineApplication/AuthComponent/VerifyInfoboxes</tt>)
in den Online-Applikationen Infobox-Validatoren konfiguriert, so verarbeitet
MOA-ID die darin enthaltenen Parameter wie folgt:
- <ul>
+<ul>
<li id="DefaultTrustProfileOA"><tt>DefaultTrustProfile</tt>: Ein lokal
definiertes Default-Trust-Profil hat sowohl Vorrang gegen&uuml;ber einem
global gesetzten <a href="#DefaultTrustProfileVI">Default-Trust-Profil</a>
@@ -842,7 +571,7 @@ Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu akt
Default-Trust-Profil, aber f&uuml;r die Infobox A ein eigenes Trust-Profil
definiert, so wird ein lokal definiertes Default-Trust-Profil dem global
f&uuml;r die Infobox A gesetzten Trust-Profil vorgezogen.
- </li>
+ </li>
<li id="InfoboxOA"><tt>Infobox</tt>: MOA-ID kann die Vereinigung aus den
global und lokal konfigurierten Infoboxen f&uuml;r eine Online-Applikation
validieren. Sind beispielsweise global Pr&uuml;fapplikationen
@@ -910,7 +639,7 @@ Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu akt
so sie vorhanden sind.
</li>
<li id="ApplicationSpecificParametersOA">
- <a href="#ApplicationSpecificParameters">ApplicationSpecificParameters</a>:
+ <a href="#ApplicationSpecificParameters">ApplicationSpecificParameters</a>:
Lokal definierte applikationsspezifische Parameter werden global
definierten vorgezogen. Sind lokal keine derartigen Parameter
konfiguriert, so werden die globalen verwendet, so sie vorhanden
@@ -920,9 +649,8 @@ Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu akt
</li>
</ul>
</li>
- </ul>
- <br />
- <b id="VerifyInfoboxesSample">Beispiel</b>: In der Konfigurationsdatei
+</ul>
+<p><b id="VerifyInfoboxesSample">Beispiel</b>: In der Konfigurationsdatei
<a href="examples/SampleMOAIDVerifyInfoboxesConfiguration.xml" target="_new">
SampleMOAIDVerifyInfoboxesConfiguration.xml</a> sind global
(<tt>MOA-IDConfiguration/AuthComponent/VerifyInfoboxes</tt>)
@@ -939,15 +667,14 @@ Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu akt
Da kein <tt>FriendlyName</tt> gesetzt ist, wird das <tt>Identifier</tt> Attibut
(<tt>InfoboxA</tt>) als <tt>FriendlyName</tt> verwendet. Weitere Parameter
sind f&uuml;r die Verifikation dieser Infobox nicht erforderlich.
- <br />
- Die Pr&uuml;fapplikation f&uuml;r die <tt>InfoboxB</tt> setzt nahezu alle
+ <br>
+Die Pr&uuml;fapplikation f&uuml;r die <tt>InfoboxB</tt> setzt nahezu alle
m&ouml;glichen Parameter mit Ausnahme der Validator-Klasse. MOA-ID wird
zur Verifikation dieser Infobox also auch die daf&uuml;r zust&auml;dige Default-Klasse
(<tt>at.gv.egovernment.moa.id.auth.validator.infoboxb.InfoboxBValidator</tt>)
laden, und alle konfigurierten Parameter an diese Klasse &uuml;bergeben.
- <br />
- In die Konfigurationsdatei sind drei Online-Applikationen mit den
- public URL-Prefixen <tt>https://OA1/</tt>, <tt>https://OA2/</tt> und
+ In die Konfigurationsdatei sind drei Online-Applikationen mit den
+public URL-Prefixen <tt>https://OA1/</tt>, <tt>https://OA2/</tt> und
<tt>https://OA3/</tt> eingetragen.
Online-Applikation <tt>OA1</tt> konfiguriert Pr&uuml;fapplikationen f&uuml;r
die drei Infoboxen <tt>InfoboxB</tt>, <tt>InfoboxC</tt> und
@@ -986,37 +713,29 @@ Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu akt
betrifft.
<br />
</p>
- </div>
-
- <div id="OnlineApplication/AuthComponent/Mandates" />
- <p id="block"> <b>OnlineApplication/AuthComponent/Mandates</b>
+ <p id="OnlineApplication/AuthComponent/Mandates"> <b>OnlineApplication/AuthComponent/Mandates</b>
<br />
Mit Hilfe dieses Elements werden die Online-Vollmachten f&uuml;r die Online-Applikation aktiviert.
Als Kindelement muss <tt>Profiles</tt> angegeben werden. Dieses Element beinhaltet eine (Komma-separierte)
Liste von Vollmachten-Profilen, die festlegen mit welchen Vollmachtstypen man sich bei der Online-Applikation anmelden kann.
- Unter <a href="https://vollmachten.stammzahlenregister.gv.at/mis/" target="_blank">https://vollmachten.stammzahlenregister.gv.at/mis/</a> finden Sie eine Liste der unterst&uuml;tzen Vollmachten-Profile.<br/>
- Hinweis: Hierzu muss auch die Verbindung zum Online-Vollmachten Service konfiguriert werden - siehe <a href="#AuthComponent_OnlineMandates">hier</a>
-</p>
+Unter <a href="https://vollmachten.stammzahlenregister.gv.at/mis/" target="_blank">https://vollmachten.stammzahlenregister.gv.at/mis/</a> finden Sie eine Liste der unterst&uuml;tzen Vollmachten-Profile.</p>
+ <p><em>Hinweis:</em> Hierzu muss auch die Verbindung zum Online-Vollmachten Service konfiguriert werden - siehe <a href="#AuthComponent_OnlineMandates">hier</a>
+ </p>
- </div>
- <div id="OnlineApplication/AuthComponent/STORK" />
- <p id="block"> <b>OnlineApplication/AuthComponent/STORK</b>
+ <p id="OnlineApplication/AuthComponent/STORK"> <b>OnlineApplication/AuthComponent/STORK</b>
<br />
Innerhalb dieses Konfigurationsblocks kann angegeben werden, welche zus&auml;tzlichen Attribute (neben eIdentifier, givenName, surname und dateOfBirth, welche defaultm&auml;&szligig requested werden) im Rahmen einer STORK Anmeldung f&uuml;r diese Applikation vom B&uuml;rger abgefragt werden sollen. Au&szligerdem kann zu Testzwecken das ben&ouml;tigte Authentifzierungslevel (STORK QAALevel) vom defaultm&auml;&szligig h&ouml;chstem Level von 4 f&uuml;r diese Applikation verringert werden.
F&uuml;r ein anderes STORK QAALevel muss folgendes XML Element mit einem Wert zwischen 1 und 4 angegeben werden: <tt>&lt;stork:QualityAuthenticationAssuranceLevel&gt;</tt>.
- <br />
- Die zus&auml;tzlichen Attribute werden im Element <tt>&lt;storkp:RequestedAttributes&gt;</tt> gekapselt. Ein entsprechener Konfigurationseintrag k&ouml;nnte folgenderma&szligen aussehen:
+<p>Die zus&auml;tzlichen Attribute werden im Element <tt>&lt;storkp:RequestedAttributes&gt;</tt> gekapselt. Ein entsprechener Konfigurationseintrag k&ouml;nnte folgenderma&szligen aussehen:
<pre>
&lt;storkp:RequestedAttributes&gt;
- &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/age" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/&gt;
- &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/eMail" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/&gt;
- &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/isAgeOver" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"&gt;
+ &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/age" isRequired="false" <br> NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/&gt;
+ &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/eMail" isRequired="false" <br> NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/&gt;
+ &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/isAgeOver" isRequired="false" <br> NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"&gt;
&lt;stork:AttributeValue&gt;1&lt;/stork:AttributeValue&gt;
- &lt;/stork:RequestedAttribute&gt;
-&lt;/storkp:RequestedAttributes&gt;
-</pre>
+ &lt;/stork:RequestedAttribute&gt;<br>&lt;/storkp:RequestedAttributes&gt;</pre>
Bei der Inkludierung von <tt>&lt;stork:RequestedAttribute&gt;</tt> Elementen sind folgende XML Attribute anzugeben:
- <ul>
+<ul>
<li><tt>Name</tt>: Der Name des entsprechenden STORK Attributes.
<br />
</li>
@@ -1030,7 +749,7 @@ Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu akt
<br />
</li>
</ul>
- Details zu den STORK Attributen k&ouml;nnen im <a href="../MOA_ID_1.5.2_Anhang.pdf" target="_new">Anhang zur MOA-ID Spezifikation</a> bzw. in der <a href="https://www.eid-stork.eu/index.php?option=com_processes&Itemid=&act=streamDocument&did=1880" target="_blank">STORK Spezifikation</a> gefunden werden.
+ <p>Details zu den STORK Attributen k&ouml;nnen im <a href="../MOA_ID_1.5.2_Anhang.pdf" target="_new">Anhang zur MOA-ID Spezifikation</a> bzw. in der <a href="https://www.eid-stork.eu/index.php?option=com_processes&Itemid=&act=streamDocument&did=1880" target="_blank">STORK Spezifikation</a> gefunden werden.</p>
Im Wesentlichen kann die folgende Menge an Attributen bzw. Teile daraus f&uuml;r eine Online Applikation angefragt werden:
<ul>
<li><tt>http://www.stork.gov.eu/1.0/inheritedFamilyName</tt>
@@ -1076,13 +795,10 @@ Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu akt
<br />
</li>
<li><tt>http://www.stork.gov.eu/1.0/isAgeOver</tt>
- <br />
- </li>
- </p>
+ </p>
+ </li>
</ul>
- </div>
- <div id="OnlineApplication/ProxyComponent" />
- <p id="block"> <b>OnlineApplication/ProxyComponent</b>
+ <p id="OnlineApplication/ProxyComponent"> <b>OnlineApplication/ProxyComponent</b>
<br />
Das Element <tt>OnlineApplication/ProxyComponent</tt>
muss verwendet werden wenn auf dem Server die
@@ -1106,39 +822,32 @@ Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu akt
Das optionale Attribut <tt>sessionTimeOut</tt>
legt das Timeout einer Benutzersession in der
Proxykomponente in Sekunden fest.<br />
- Default-Wert: 3600 <br />
- <br />
- Im optionalen Attribut <tt>loginParameterResolverImpl</tt>
+Default-Wert: 3600 </p>
+<p>Im optionalen Attribut <tt>loginParameterResolverImpl</tt>
kann der Klassenname eines zu verwendenden <tt>LoginParameterResolver</tt>
angegeben werden, welcher die Defaultimplementierung
- ersetzt. <br />
- </p>
- <p id="block">Im optionalen Attribut <tt>loginParameterResolverConfiguration
+ ersetzt. </p>
+ <p>Im optionalen Attribut <tt>loginParameterResolverConfiguration
</tt>kann ein Configurationsstring f&uuml;r die
Initialisierung der betreffenden <tt>loginParameterResolverImpl</tt>
- angegeben werden.<br>
- <br />
- Im optionalen Attribut <tt>connectionBuilderImpl</tt>
+angegeben werden.</p>
+ <p>Im optionalen Attribut <tt>connectionBuilderImpl</tt>
kann der Klassenname eines zu verwendenden ConnectionBuilder
angegeben werden, welcher die Defaultimplementierung
- ersetzt. <br />
- <br />
- Im Kind-Element <tt>ConnectionParameter</tt> ist
+ ersetzt. </p>
+<p>Im Kind-Element <tt>ConnectionParameter</tt> ist
konfiguriert, wie MOA-ID-PROXY zur Online-Applikation
verbindet. </p>
- <div id="ChainingModes" />
- <p id="block"> <b>ChainingModes</b><br />
+ <p id="ChainingModes"> <b>ChainingModes</b><br />
Das Element <tt>ChainingModes</tt> definiert,
ob bei der Zertifikatspfad-&uuml;berpr&uuml;fung
das Kettenmodell (<tt>"chaining"</tt>) oder
das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>)
- verwendet werden soll. <br />
- <br />
- Das Attribut <tt>systemDefaultMode</tt> spezifiziert
+verwendet werden soll. </p>
+ <p>Das Attribut <tt>systemDefaultMode</tt> spezifiziert
das Modell, das im Standardfall verwendet werden
- soll. <br/>
- <br/>
- Mit dem Kind-Element <tt>TrustAnchor</tt> kann
+ soll. </p>
+ <p>Mit dem Kind-Element <tt>TrustAnchor</tt> kann
f&uuml;r jeden Trust Anchor ein abweichendes
Modell spezifiziert werden. Ein Trust Anchor
ist ein Zertifikat, das in <tt>TrustedCACertificates</tt>
@@ -1146,25 +855,22 @@ Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu akt
den Typ <tt>&lt;dsig:X509IssuerSerialType&gt;</tt>
spezifiziert. Das f&uuml;r diesen Trust Anchor
g&uuml;ltige Modell wird durch das Attribut
- <tt>mode</tt> spezifiziert. <br/>
- <br/>
- G&uuml;ltige Werte f&uuml;r die Attribute <tt>systemDefaultMode</tt>
+ <tt>mode</tt> spezifiziert. </p>
+ <p>G&uuml;ltige Werte f&uuml;r die Attribute <tt>systemDefaultMode</tt>
und <tt>mode</tt> sind <tt>"chaining"</tt> und
<tt>"pkix"</tt>. <br/>
<br/>
<a href="examples/ChainingModes.txt">Beispiel</a>
</p>
- <div id="TrustedCACertificates" />
- <p id="block"> <b>TrustedCACertificates</b><br />
+ <p id="TrustedCACertificates"> <b>TrustedCACertificates</b><br />
Das Element <tt>TrustedCACertificates</tt>
enth&auml;lt das Verzeichnis (relativ zur
MOA-ID Konfigurationsdatei), das jene Zertifikate
enth&auml;lt, die als vertrauensw&uuml;rdig
betrachtet werden. Im Zuge der &Uuml;berpr&uuml;fung
der TLS-Serverzertifikate wird die Zertifikatspfaderstellung
- an einem dieser Zertifikate beendet. </p>
- <div id="GenericConfiguration" />
- <p id="block"> <b>GenericConfiguration</b><br />
+an einem dieser Zertifikate beendet. </p>
+ <p id="GenericConfiguration"> <b>GenericConfiguration</b><br />
Das Element <tt>GenericConfiguration</tt>
erm&ouml;glicht das Setzen von Namen-Werte
Paaren mittels der Attribute <tt>name</tt>
@@ -1310,316 +1016,141 @@ Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu akt
value=&quot;https://&lt;your_webserver&gt;/moa-id-auth/&quot;/&gt;</td>
</tr>
</table>
- </div>
- <div id="TrustedBKUs" />
- <p id="block"> <b>TrustedBKUs</b><br />
+ <p id="TrustedBKUs"> <b>TrustedBKUs</b><br />
Das Element <tt>TrustedBKUs</tt>
erm&ouml;glicht das Setzen von vertrauensw&uuml;rdigen B&uuml;rgerkartenumgebungen.
In <tt>BKUURL</tt> Unterelementen werden die vertrauensw&uuml;rdigen URLs eingetragen. Diese Liste von URLs wird mit dem Aufruf-Parameter bkuURI abgeglichen. Lokale B&uuml;rgerkartenumgebungen m&uuml;ssen nicht eingetragen werden - diesen wird automatisch vertraut.
</p>
- </div>
- <div id="TrustedTemplateURLs" />
- <p id="block"> <b>TrustedTemplateURLs</b><br />
+<p id="TrustedTemplateURLs"> <b>TrustedTemplateURLs</b><br />
Das Element <tt>TrustedTemplateURLs</tt>
erm&ouml;glicht das Setzen von vertrauensw&uuml;rdigen Templates, die sich auf externen Servern befinden.
In <tt>TemplateURL</tt> Unterelementen werden die vertrauensw&uuml;rdigen URLs eingetragen. Diese Liste von URLs wird mit dem Aufruf-Parameter Template abgeglichen.
</p>
- </div>
- </div>
- </div>
- </div>
- </div>
- </div>
- </div>
- </div>
- </div>
- </div>
- </div>
- </div>
- </div>
- </div>
- </td>
- </tr></table>
-
-<br /><br />
-<div id="oa-config" />
-<table width="650" border="0" cellpadding="10" cellspacing="0">
-<tr>
-<td width="170" valign="top" id="klein">
-<p id="subtitel">&#160;</p>
-<div id="slogan">
-<br /><br />
-</div>
-</td>
-<td valign="top">
-<p id="subtitel">Konfiguration der Online-Applikation</p>
-<div id="block">
-Die Konfiguration der OA beschreibt die Art und Weise, wie die Proxykomponente die Anmeldung an der Online-Applikation
-durchf&uuml;hrt.
-<br /><br />
-Der Name der Konfigurationsdatei wird in der Konfiguration von MOA-ID als Wert des Attributs
-<tt>configFileURL</tt> des Elements <tt>MOA-IDConfiguration/OnlineApplication/ProxyComponent</tt> hinterlegt.
-<br/>Ist dieses Attribut nicht gesetzt, dann wird die Datei von <tt>http://&lt;realURLPrefix&gt;/MOAConfig.xml</tt> geladen,
-wobei <tt>&lt;realURLPrefix&gt;</tt> dem Konfigurationswert <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt> entspricht.
-<br /><br />
-Die Konfigurationsdatei ist eine XML-Datei, die dem Schema
-<a href="../MOA-ID-Configuration-1.5.1.xsd" target="_new">MOA-ID-Configuration-1.5.1.xsd</a> mit dem Wurzelelement
-<tt>Configuration</tt> entspricht.
-</div>
-
-<div id="LoginType" />
-<p id="block">
-<b>LoginType</b><br />
-Das Element <tt>LoginType</tt> gibt an, ob die Online-Applikation ein einmaliges Login erwartet (<tt>stateful</tt>),
-oder ob die Login-Parameter bei jedem Request mitgegeben werden m&uuml;ssen (<tt>stateless</tt>). Im Fall einer stateful
-Online-Applikation werden die in der HTTP-Session der Proxykomponente gespeicherten Anmeldedaten nur f&uuml;r den Aufruf
-des Login-Scripts verwendet. Unmittelbar nach dem Aufruf werden sie gel&ouml;scht.
-<br />
-Default-Wert: <tt>stateful</tt>
+<h1><a name="oa-config" id="oa-config">2 Konfiguration der Online-Applikation</a></h1>
+<p>Die Konfiguration der OA beschreibt die Art und Weise, wie die Proxykomponente die Anmeldung an der Online-Applikation
+durchf&uuml;hrt. </p>
+<p>Der Name der Konfigurationsdatei wird in der Konfiguration von MOA-ID als Wert des Attributs <tt>configFileURL</tt> des Elements <tt>MOA-IDConfiguration/OnlineApplication/ProxyComponent</tt> hinterlegt. <br/>
+ Ist dieses Attribut nicht gesetzt, dann wird die Datei von <tt>http://&lt;realURLPrefix&gt;/MOAConfig.xml</tt> geladen,
+wobei <tt>&lt;realURLPrefix&gt;</tt> dem Konfigurationswert <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt> entspricht. </p>
+<p>Die Konfigurationsdatei ist eine XML-Datei, die dem Schema <a href="../MOA-ID-Configuration-1.5.1.xsd" target="_new">MOA-ID-Configuration-1.5.1.xsd</a> mit dem Wurzelelement <tt>Configuration</tt> entspricht.
</p>
-</div>
-
-<div id="ParamAuth" />
-<p id="block">
-<b>ParamAuth</b><br />
-Konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Applikation mittels URL-Parametern. Das Element
-kann ein oder mehrere Kind-Elemente <tt>&lt;Parameter&gt;</tt> beinhalten.
-</p>
-</div>
-
-<div id="Parameter" />
-<p id="block">
-<b>ParamAuth/Parameter</b><br />
-Das Element <tt>&lt;Parameter&gt;</tt> enth&auml;lt die Attribute <tt>Name</tt> und <tt>Value</tt>.
-<br /><br />
-Das Attribut <tt>Name</tt> beschreibt den Namen des Parameters und ist ein frei zu w&auml;hlender String.
-<br /><br />
-Das Attribut <tt>Value</tt> beschreibt den Inhalt des Parameters und kann einen der durch <tt>MOAAuthDataType</tt> beschriebenen
-Werte annehmen. G&uuml;ltige Werte von <tt>MOAAuthDataType</tt> sind:
+<p id="LoginType"> <b>LoginType</b><br />
+ Das Element <tt>LoginType</tt> gibt an, ob die Online-Applikation ein einmaliges Login erwartet (<tt>stateful</tt>),
+ oder ob die Login-Parameter bei jedem Request mitgegeben werden m&uuml;ssen (<tt>stateless</tt>). Im Fall einer stateful
+ Online-Applikation werden die in der HTTP-Session der Proxykomponente gespeicherten Anmeldedaten nur f&uuml;r den Aufruf
+ des Login-Scripts verwendet. Unmittelbar nach dem Aufruf werden sie gel&ouml;scht. <br />
+ Default-Wert: <tt>stateful</tt> </p>
+<p id="ParamAuth"> <b>ParamAuth</b><br />
+ Konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Applikation mittels URL-Parametern. Das Element
+ kann ein oder mehrere Kind-Elemente <tt>&lt;Parameter&gt;</tt> beinhalten. </p>
+<p id="Parameter"> <b>ParamAuth/Parameter</b><br />
+Das Element <tt>&lt;Parameter&gt;</tt> enth&auml;lt die Attribute <tt>Name</tt> und <tt>Value</tt>.
+<p>Das Attribut <tt>Name</tt> beschreibt den Namen des Parameters und ist ein frei zu w&auml;hlender String.
+<p>Das Attribut <tt>Value</tt> beschreibt den Inhalt des Parameters und kann einen der durch <tt>MOAAuthDataType</tt> beschriebenen
+ Werte annehmen. G&uuml;ltige Werte von <tt>MOAAuthDataType</tt> sind:
<ul>
-<li><tt>MOAGivenName</tt> - der Vorname des Benutzers, wie in der Personenbindung enthalten
-<li><tt>MOAFamilyName</tt> - der Nachname des Benutzers, wie in der Personenbindung enthalten
-<li><tt>MOADateOfBirth</tt> - das Geburtsdatum des Benutzers, wie in der Personenbindung enthalten
-<li><tt>MOABPK</tt> - die bereichsspezifische Personenkennzeichnung des Benutzers, wie von der
-Authentisierungskomponente berechnet
-<li><tt>MOAWBPK</tt> - das wirtschaftsbereichsspezifische Personenkennzeichen des Benutzers, wie von der
-B&uuml;gerkartenumgebung berechnet
-<li><tt>MOAPublicAuthority</tt> - wird durch <tt>true</tt> ersetzt, falls der Benutzer mit einem Zertifikat signierte,
-welches eine <a href="../OID-1-0-3.pdf">Beh&ouml;rdenerweiterung</a> beinhaltet. Andernfalls wird <tt>false</tt> gesetzt
-<li><tt>MOABKZ</tt> - das Beh&ouml;rdenkennzeichen (nur sinnvoll, wenn <tt>MOAPublicAuthority</tt> den Wert <tt>true</tt>
-ergibt)
-<li><tt>MOAQualifiedCertificate</tt> - wird durch <tt>true</tt> ersetzt, falls das Zertifikat des Benutzers
-qualifiziert ist, andernfalls wird <tt>false</tt> gesetzt
-<li><tt>MOAStammzahl</tt> - die Stammzahl des Benutzers; diese ist nur dann verf&uuml;gbar, wenn die Online-Applikation
-die Stammzahl bekommen darf (und daher in der Personenbindung enthalten ist)
-<li><tt>MOAIPAddress</tt> - IP-Adresse des Client des Benutzers.
+ <li><tt>MOAGivenName</tt> - der Vorname des Benutzers, wie in der Personenbindung enthalten
+ <li><tt>MOAFamilyName</tt> - der Nachname des Benutzers, wie in der Personenbindung enthalten
+ <li><tt>MOADateOfBirth</tt> - das Geburtsdatum des Benutzers, wie in der Personenbindung enthalten
+ <li><tt>MOABPK</tt> - die bereichsspezifische Personenkennzeichnung des Benutzers, wie von der
+ Authentisierungskomponente berechnet
+ <li><tt>MOAWBPK</tt> - das wirtschaftsbereichsspezifische Personenkennzeichen des Benutzers, wie von der
+ B&uuml;gerkartenumgebung berechnet
+ <li><tt>MOAPublicAuthority</tt> - wird durch <tt>true</tt> ersetzt, falls der Benutzer mit einem Zertifikat signierte,
+ welches eine <a href="../OID-1-0-3.pdf">Beh&ouml;rdenerweiterung</a> beinhaltet. Andernfalls wird <tt>false</tt> gesetzt
+ <li><tt>MOABKZ</tt> - das Beh&ouml;rdenkennzeichen (nur sinnvoll, wenn <tt>MOAPublicAuthority</tt> den Wert <tt>true</tt> ergibt)
+ <li><tt>MOAQualifiedCertificate</tt> - wird durch <tt>true</tt> ersetzt, falls das Zertifikat des Benutzers
+ qualifiziert ist, andernfalls wird <tt>false</tt> gesetzt
+ <li><tt>MOAStammzahl</tt> - die Stammzahl des Benutzers; diese ist nur dann verf&uuml;gbar, wenn die Online-Applikation
+ die Stammzahl bekommen darf (und daher in der Personenbindung enthalten ist)
+ <li><tt>MOAIPAddress</tt> - IP-Adresse des Client des Benutzers.
</ul>
-
Anhand der <tt>&lt;Parameter&gt;</tt>-Elemente wird der Request f&uuml;r den Login-Vorgang (f&uuml;r stateful Online-Applikationen)
folgenderma&szlig;en zusammenge-stellt:<br />
+<blockquote> <code>GET https://&lt;login-url&gt;?<br />
+ &nbsp;&nbsp;&lt;p1.name=p1.resolvedValue&gt;&<br />
+ &nbsp;&nbsp;&lt;p2.name=p2.resolvedValue&gt;...</code> </blockquote>
+<p> Die <tt>&lt;login-url&gt;</tt> ergibt sich aus dem Parameter OA des <a href="id-anwendung_1.htm">Aufrufs von MOA-ID-AUTH</a>,
+ zusammen mit der Konfiguration von <tt>OnlineApplication/@publicURLPrefix</tt> und von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>. <br/>
+ Der Wert <tt>resolvedValue</tt> wird in MOA-ID-PROXY je nach Wert des Platzhalters eingesetzt.</p>
+<p id="BasicAuth"> <b>BasicAuth</b><br />
+ Das Element <tt>BasicAuth</tt> konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Appliktion
+ mittels HTTP Basic Authentication. Es enth&auml;lt zwei Kind-Elemente. </p>
+<p> Das Element <tt>UserID</tt> gibt die UserId des zu authentisierenden Benutzers an und kann einen der durch <tt>MOAAuthDataType</tt> beschriebenen Werte annehmen. </p>
+<p>Das Element <tt>Password</tt> gibt das Passwort des zu authentisierenden Benutzers an und kann einen der durch <tt>MOAAuthDataType</tt> beschriebenen Werte annehmen. </p>
+<p id="HeaderAuth"> <b>HeaderAuth</b><br />
+ Das Element <tt>HeaderAuth</tt> konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Applikation
+in HTTP Request Headern. Das Element kann ein oder mehrere Kind-Elemente <tt>&lt;Header&gt;</tt> beinhalten. </p>
+<p id="Header"> <b>HeaderAuth/Header</b><br />
+Das Element <tt>&lt;Header&gt;</tt> enth&auml;lt die Attribute Name und Value.
+<p>Das Attribut <tt>Name</tt> beschreibt den Namen des Header und ist ein frei zu w&auml;hlender String.
+<p>Das Attribut <tt>Value</tt> beschreibt den Inhalt des Header und kann einen der durch <tt>MOAAuthDataType</tt> beschriebenen Werte annehmen.
+<p>Die Header werden folgenderma&szlig;en in den Request an die Online-Applikation eingef&uuml;gt:
<blockquote>
-<code>GET https://&lt;login-url&gt;?<br />
-&nbsp;&nbsp;&lt;p1.name=p1.resolvedValue&gt;&<br />
-&nbsp;&nbsp;&lt;p2.name=p2.resolvedValue&gt;...</code>
-</blockquote>
-<p id="block">
-Die <tt>&lt;login-url&gt;</tt> ergibt sich aus dem Parameter OA des <a href="id-anwendung_1.htm">Aufrufs von MOA-ID-AUTH</a>,
-zusammen mit der Konfiguration von <tt>OnlineApplication/@publicURLPrefix</tt> und von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>.
-<br/>Der Wert <tt>resolvedValue</tt> wird in MOA-ID-PROXY je nach Wert des Platzhalters eingesetzt.
-</p>
-<tt></tt></div><tt></tt>
-<div id="BasicAuth" />
-<p id="block">
-<b>BasicAuth</b><br />
-Das Element <tt>BasicAuth</tt> konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Appliktion
-mittels HTTP Basic Authentication. Es enth&auml;lt zwei Kind-Elemente.
-<br /><br />
-Das Element <tt>UserID</tt> gibt die UserId des zu authentisierenden Benutzers an und kann einen der durch
-<tt>MOAAuthDataType</tt> beschriebenen Werte annehmen.
-<br /><br />
-Das Element <tt>Password</tt> gibt das Passwort des zu authentisierenden Benutzers an und kann einen der durch
-<tt>MOAAuthDataType</tt> beschriebenen Werte annehmen.
-</p>
-</div>
-
-<div id="HeaderAuth" />
-<p id="block">
-<b>HeaderAuth</b><br />
-Das Element <tt>HeaderAuth</tt> konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Applikation
-in HTTP Request Headern. Das Element kann ein oder mehrere Kind-Elemente <tt>&lt;Header&gt;</tt> beinhalten.
-</p>
-</div>
-
-<div id="Header" />
-<p id="block">
-<b>HeaderAuth/Header</b><br />
-Das Element <tt>&lt;Header&gt;</tt> enth&auml;lt die Attribute Name und Value.
-<br /><br />
-Das Attribut <tt>Name</tt> beschreibt den Namen des Header und ist ein frei zu w&auml;hlender String.
-<br /><br />
-Das Attribut <tt>Value</tt> beschreibt den Inhalt des Header und kann einen der durch <tt>MOAAuthDataType</tt>
-beschriebenen Werte annehmen.
-<br /><br />
-Die Header werden folgenderma&szlig;en in den Request an die Online-Applikation eingef&uuml;gt:
-<blockquote><pre>
+ <pre>
&lt;h1.name&gt;:&lt;h1.resolvedValue&gt;
&lt;h2.name&gt;:&lt;h2.resolvedValue&gt;
...
-</pre></blockquote>
-Der Wert <tt>resolvedValue</tt> wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt.
+</pre>
+</blockquote>
+<p>Der Wert <tt>resolvedValue</tt> wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt.
Etwaige Header aus dem urspr&uuml;nglichen Request an die Proxykomponente, die denselben Namen haben, m&uuml;ssen
&uuml;berschrieben werden.
-<p></p>
-</div>
-</tt></tt></td></tr></table>
-
-
-<div id="sp-config" />
-<table width="650" border="0" cellpadding="10" cellspacing="0">
-<tr>
-<td width="170" valign="top" id="klein">
-<p id="subtitel">&#160;</p>
-<div id="slogan">
-<br /><br />
-</div>
-</td>
-<td valign="top">
-<p id="subtitel">Konfiguration von MOA-SP</p>
-<div id="block">
-
- <p id="block"> MOA-ID &uuml;berpr&uuml;ft die Signaturen der Personenbindung und
- des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt> von
- MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden.
- <br />
- <br />
- <b>VerifyTransformsInfoProfile</b><br />
- Der Request zum &uuml;berpr&uuml;fen der Signatur des AUTH-Blocks
- verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die
- im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei
- im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/
- VerifyTransformsInfoProfileID</tt> definiert. Entsprechend muss
- am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender
- ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung
- von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt>
- enthalten. Diese Profildefinition muss unver&auml;ndert &uuml;bernommen
- werden. </p>
- <div id="verifytransformsInfoProfile" /></div>
-
-<div id="trustProfile" />
-<p id="block">
-<b>TrustProfile</b><br />
-Die Requests zur &uuml;berpr&uuml;fung der Signatur verwenden vordefinierte TrustProfile.
-Die im Request verwendete Profil-IDs werden in der MOA-ID Konfigurationsdatei
-in den Elementen <tt>/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyIdentityLink/ TrustProfileID</tt> und
-<tt>/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyAuthBlock/TrustProfileID</tt> definiert. Diese beiden Elemente
-k&ouml;nnen unterschiedliche oder identische TrustProfileIDs enthalten.
-Am MOA-SP Server m&uuml;ssen TrustProfile mit gleichlautender ID definiert werden.
-Die Auslieferung von MOA-ID enth&auml;lt das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/trustprofiles/MOAIDBuergerkarteRoot</tt>,
-das als TrustProfile verwendet werden kann. Weitere Zertifikate k&ouml;nnen als vertrauensw&uuml;rdig hinzugef&uuml;gt werden.
</p>
-</div>
-
-<div id="certstore" />
-<p id="block">
-<b>Certstore</b><br />
-Zum Aufbau eines Zertifikatspfades k&ouml;nnen ben&ouml;tigte Zertifikate aus einem Zertifikatsspeicher verwendet werden.
-Die Auslieferung von MOA-ID enth&auml;lt das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/certstore</tt>, das als initialer
-Zertifikatsspeicher verwendet werden kann.
-</p>
-</div>
-
-<div>
-Hinweis: Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues Format f&uuml;r die XML-Konfigurationsdatei.
-F&uuml;r die Konvertierung einer &auml;lteren Konfigurationsdatei auf das neue Format steht Ihnen ein Tool
-zur Verf&uuml;gung. Details dazu finden sie in der der Distribution von MOA-SP/SS beiligenden
-Dokumentation im Kapitel 'Konfiguration', Abschnitt 1.2.1.<br>
-
-</div>
-</td></tr></table>
-
-
-<div id="online-config" />
-<table width="650" border="0" cellpadding="10" cellspacing="0">
-<tr>
-<td width="170" valign="top" id="klein">
-<p id="subtitel">&#160;</p>
-<div id="slogan">
-<br /><br />
-</div>
-</td>
-<td valign="top">
-<p id="subtitel">&Auml;nderung der Konfiguration w&auml;hrend des Betriebs</p>
-<div id="block">
-Der Inhalt dieser Konfiguration, bzw. jene Teile, auf die indirekt verwiesen wird, k&ouml;nnen w&auml;hrend des laufenden
-Betriebes des MOA-Servers ge&auml;ndert werden. Der Server selbst wird durch den Aufruf einer <a href="id-admin_1.htm#ConfigUpdate">URL</a>
-(im Applikationskontext von MOA ID) dazu veranlasst, die ge&auml;nderte Konfiguration neu einzulesen.
-Im Falle einer fehlerhaften neuen Konfiguration wird die urspr&uuml;ngliche Konfiguration beibehalten.
-</div>
-
-
-</td>
-</tr>
-<tr>
-<td width="170" valign="top" id="klein">
-<p id="subtitel">&#160;</p>
-<div id="slogan">
-<br /><br />
-</div>
-</td>
-<div id="errorpages" />
-<td valign="top">
-<p id="subtitel">&Auml;ndern der Default Errorpages</p>
-<div id="block">
- <p>Die Default-Errorpages geben bei MOA-ID-AUTH und MOA-ID-PROXY immer die entsprechende Fehlermeldung aus, so eine vorhanden ist. M&ouml;chte man dies verhindern bzw. abh&auml;ngig vom eingestellten Log-Level machen so k&ouml;nnen diese Errorpages ersetzt werden. Entsprechende Errorpages sind unter $MOA_ID_INST_AUTH/errorpages bzw. $MOA_ID_INST_PROXY/errorpages zu finden. Diese k&ouml;nnen die Default-Errorpages unter dem jeweiligen webapps-Kontext von MOA-ID-AUTH (errorpage-auth.jsp) bzw. MOA-ID-PROXY (errorpage-proxy.jsp )ersetzen. </p>
- <p>Die in $MOA_ID_INST_AUTH/errorpages bzw. $MOA_ID_INST_PROXY/errorpages enthaltenen Errorpages bedeuten dabei folgendes:</p>
- <ul>
- <li>errorpage-auth_debug.jsp und errorpage-proxy_debug.jsp:<br>
- Geben erweiterte Meldungen wie (ErrorMessage, ExceptionThrown) aus, wenn der Log-Level f&uuml;r
- moa.id.auth bzw. moa.id.proxy auf debug gesetzt sind. Ansonsten erfolgt nur eine allgemeine Ausgabe, dass ein
- Fehler aufgetreten ist.</li>
- <li>errorpage-auth_empty.jsp und errorpage-proxy_empty.jsp:<br>
- Unabh&auml;ngig vom Log-Level erfolgt nur einen allgemeine Ausgabe, dass ein Fehler aufgetreten ist.<br>
- </li>
- </ul>
- <p></p>
-</div></td>
+<h1><a name="sp-config" id="sp-config">3 Konfiguration von MOA-SP</a></h1>
+ <p>MOA-ID &uuml;berpr&uuml;ft die Signaturen der Personenbindung und
+ des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt> von
+ MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. <br />
+ <br />
+ <b id"verifytransformsInfoProfile">VerifyTransformsInfoProfile</b><br />
+ Der Request zum &uuml;berpr&uuml;fen der Signatur des AUTH-Blocks
+ verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die
+ im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei
+ im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/
+ VerifyTransformsInfoProfileID</tt> definiert. Entsprechend muss
+ am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender
+ ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung
+ von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt> enthalten. Diese Profildefinition muss unver&auml;ndert &uuml;bernommen
+ werden. </p>
+<p id="trustProfile"> <b>TrustProfile</b><br />
+ Die Requests zur &uuml;berpr&uuml;fung der Signatur verwenden vordefinierte TrustProfile.
+ Die im Request verwendete Profil-IDs werden in der MOA-ID Konfigurationsdatei
+ in den Elementen <tt>/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyIdentityLink/ TrustProfileID</tt> und <tt>/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyAuthBlock/TrustProfileID</tt> definiert. Diese beiden Elemente
+ k&ouml;nnen unterschiedliche oder identische TrustProfileIDs enthalten.
+ Am MOA-SP Server m&uuml;ssen TrustProfile mit gleichlautender ID definiert werden.
+ Die Auslieferung von MOA-ID enth&auml;lt das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/trustprofiles/MOAIDBuergerkarteRoot</tt>,
+ das als TrustProfile verwendet werden kann. Weitere Zertifikate k&ouml;nnen als vertrauensw&uuml;rdig hinzugef&uuml;gt werden. </p>
+<p id="certstore"> <b>Certstore</b><br />
+ Zum Aufbau eines Zertifikatspfades k&ouml;nnen ben&ouml;tigte Zertifikate aus einem Zertifikatsspeicher verwendet werden.
+ Die Auslieferung von MOA-ID enth&auml;lt das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/certstore</tt>, das als initialer
+ Zertifikatsspeicher verwendet werden kann. </p>
+<p>Hinweis: Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues Format f&uuml;r die XML-Konfigurationsdatei.
+ F&uuml;r die Konvertierung einer &auml;lteren Konfigurationsdatei auf das neue Format steht Ihnen ein Tool
+ zur Verf&uuml;gung. Details dazu finden sie in der der Distribution von MOA-SP/SS beiligenden
+ Dokumentation im Kapitel 'Konfiguration', Abschnitt 1.2.1.</p>
-</tr>
+<h1><a name="online-config" id="online-config">4 &Auml;nderung der Konfiguration w&auml;hrend des Betriebs</a></h1>
+<p>Der Inhalt dieser Konfiguration, bzw. jene Teile, auf die indirekt verwiesen wird, k&ouml;nnen w&auml;hrend des laufenden
+Betriebes des MOA-Servers ge&auml;ndert werden. Der Server selbst wird durch den Aufruf einer <a href="id-admin_1.htm#ConfigUpdate">URL</a> (im Applikationskontext von MOA ID) dazu veranlasst, die ge&auml;nderte Konfiguration neu einzulesen.
+Im Falle einer fehlerhaften neuen Konfiguration wird die urspr&uuml;ngliche Konfiguration beibehalten.</p>
-
-<tr>
-<td width="170" valign="top" id="klein">
-<p id="subtitel">&#160;</p>
-<div id="slogan">
-<br /><br />
-</div>
-</td>
-<td valign="top">
-<div id="security" />
-<p id="subtitel">Tomcat Security Manager</p>
-<div id="block">
- <p>Apache Tomcat bietet die M&ouml;glichkeit den Server unter einem Security Manager zu betreiben. Damit ist es m&ouml;glich den lokalen Dateizugriff zu beschr&auml;nken. Mit Hilfe der Datei &quot;catalina.policy&quot; k&ouml;nnen so Zugriffe auf lokale Dateien und Verzeichnisse festgelegt werden. Eine beispielhafte catalina.policy Datei finden Sie im Verzeichnis $MOA_ID_INST_AUTH/tomcat bzw. $MOA_ID_INST_PROXY/tomcat. Diese Datei wurde unter Apache Tomcat 4.1.31, 5.0.28 und 5.5.27 getestet. </p>
- <p>Mehr Informationen zum Security Manager entnehmen Sie bitte der entsprechenden Apache Tomcat Dokumentation. </p>
- </div></td>
-
-</tr>
-</table>
-<br /><br />
-
-
-
-<table width="650" border="0" cellpadding="10" cellspacing="0">
-<tr>
-<td width="170" valign="top"><br /></td>
-<td valign="top">
-<hr />
-<div style="font-size:8pt; color:#909090">&copy; 2012</div>
-</td></tr></table>
-<br />
+<h1><a name="errorpages" id="errorpages">5 &Auml;ndern der Default Errorpages</a></h1>
+<p>Die Default-Errorpages geben bei MOA-ID-AUTH und MOA-ID-PROXY immer die entsprechende Fehlermeldung aus, so eine vorhanden ist. M&ouml;chte man dies verhindern bzw. abh&auml;ngig vom eingestellten Log-Level machen so k&ouml;nnen diese Errorpages ersetzt werden. Entsprechende Errorpages sind unter $MOA_ID_INST_AUTH/errorpages bzw. $MOA_ID_INST_PROXY/errorpages zu finden. Diese k&ouml;nnen die Default-Errorpages unter dem jeweiligen webapps-Kontext von MOA-ID-AUTH (errorpage-auth.jsp) bzw. MOA-ID-PROXY (errorpage-proxy.jsp )ersetzen. </p>
+<p>Die in $MOA_ID_INST_AUTH/errorpages bzw. $MOA_ID_INST_PROXY/errorpages enthaltenen Errorpages bedeuten dabei folgendes:</p>
+<ul>
+ <li>errorpage-auth_debug.jsp und errorpage-proxy_debug.jsp:<br>
+ Geben erweiterte Meldungen wie (ErrorMessage, ExceptionThrown) aus, wenn der Log-Level f&uuml;r
+ moa.id.auth bzw. moa.id.proxy auf debug gesetzt sind. Ansonsten erfolgt nur eine allgemeine Ausgabe, dass ein
+ Fehler aufgetreten ist.</li>
+ <li>errorpage-auth_empty.jsp und errorpage-proxy_empty.jsp:<br>
+ Unabh&auml;ngig vom Log-Level erfolgt nur einen allgemeine Ausgabe, dass ein Fehler aufgetreten ist.</li>
+</ul>
+<h1><a name="security" id="security">6 Tomcat Security Manager</a></h1>
+<p>Apache Tomcat bietet die M&ouml;glichkeit den Server unter einem Security Manager zu betreiben. Damit ist es m&ouml;glich den lokalen Dateizugriff zu beschr&auml;nken. Mit Hilfe der Datei &quot;catalina.policy&quot; k&ouml;nnen so Zugriffe auf lokale Dateien und Verzeichnisse festgelegt werden. Eine beispielhafte catalina.policy Datei finden Sie im Verzeichnis $MOA_ID_INST_AUTH/tomcat bzw. $MOA_ID_INST_PROXY/tomcat. Diese Datei wurde unter Apache Tomcat 4.1.31, 5.0.28 und 5.5.27 getestet. </p>
+<p>Mehr Informationen zum Security Manager entnehmen Sie bitte der entsprechenden Apache Tomcat Dokumentation. </p>
-</div>
-</div></div></div></body>
+</body>
</html>