diff options
Diffstat (limited to 'id/server/doc/moa_id/intro.htm')
| -rw-r--r-- | id/server/doc/moa_id/intro.htm | 182 |
1 files changed, 182 insertions, 0 deletions
diff --git a/id/server/doc/moa_id/intro.htm b/id/server/doc/moa_id/intro.htm new file mode 100644 index 000000000..0c6dff359 --- /dev/null +++ b/id/server/doc/moa_id/intro.htm @@ -0,0 +1,182 @@ +<html> +<head> + <title>MOA Module fuer Online Applikationen - Identifikation</title> + <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" /> + <link rel="stylesheet" href="./common/MOA.css" type="text/css"> +</head> + +<body link="#990000"> + +<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10"> + <tr> + <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td> + <td align="center" class="logoTitle">Dokumentation</td> + <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td> + </tr> +</table> + <hr/> + <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p> + <p class="subtitle">Allgemeine Informationen </p> + <hr/> +<h1>Inhalt</h1> + <ol> + <li> + <p><a href="#uebersicht">Übersicht</a></p> + </li> + <li> + <p><a href="#anmeldung">Ablauf einer Anmeldung</a></p> + </li> + <li> + <p><a href="#foreign">Ergänzung für ausländische Bürger</a></p> + </li> + <li> + <p><a href="#mandate">Online-Vollmachten</a></p> + </li> + </ol> + <hr/> + + <h1><a name="uebersicht" id="uebersicht"></a>1 Übersicht</h1> + +Das Modul Identifikation stellt Online-Applikationen Funktionalität zur Verfügung zu stellen, damit diese +eine Benutzer-Identifikation und -Authentisierung mit Hilfe der Bürgerkarte und deren Signaturfunktion +realisieren können. +<br /><br /> +Das Modul besteht aus zwei Komponenten: +<ul> +<li>Die Authentisierungskomponente (MOA-ID-AUTH) führt die eigentliche Authentisierung des Benutzers durch und übergibt der +Proxykomponente die Anmeldedaten.</li> +<li>Die Proxykomponente (MOA-ID-PROXY) übernimmt die Anmeldedaten von der Authentisierungskomponente, +führt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation +und Daten an den Benutzer durch.</li> +</ul> +Diese beiden Komponenten können auf unterschiedlichen Rechnern +oder auf dem gleichen Rechner eingesetzt werden. +<br /><br /> +Die Funktionalität und der Aufbau der Schnittstelle zu MOA-ID ist in der +<a href="../MOA_ID_1.4_20070802.pdf" target="_new">Spezifikation</a> bzw. im <a href="../MOA_ID_1.5_Anhang.pdf" target="_new">Anhang zur Spezifikation</a> detailliert beschrieben. +<br /> +<br /> +Für den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich. +</div> + +<br /><br /> +<h1><a name="anmeldung" id="anmeldung"></a>2 Ablauf einer Anmeldung</h1> + +<img src="moa-id-ablauf.jpg"/> + +<table width="550" border="0" cellspacing="3" cellpadding="2"> + +<tr> +<td valign="top" width="30">1</td> +<td id="block">Der Benutzer verbindet sich zu einem Web-Portal, über das die verfügbaren Online-Applikationen (OA) erreichbar sind. Jeder Link zu einer OA verweist auf die Authentisierungs-komponente. +</td> +</tr> + +<tr> +<td valign="top">2</td> +<td id="block">Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des +Benutzers durchführt:</td> +</tr> + +<tr> +<td valign="top">2.1</td> +<td id="block">MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verfügbaren Bürgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an.</td> +</tr> + +<tr> +<td valign="top">2.2</td> +<td id="block">MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <tt><InfoboxReadRequest></tt> + zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.</td> +</tr> + +<tr> +<td valign="top">2.3</td> +<td id="block">Der Browser schickt den <tt><InfoboxReadRequest></tt> an den ausgewählten Security-Layer. Der Security-Layer liest die +Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch +einen Aufruf von MOA-SP überprüft. +</td> +</tr> + +<tr> +<td valign="top">2.4</td> +<td id="block">MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enthält +<ul> +<li>Vor- und Nachname aus der Personenbindung,</li> +<li>URL von MOA-ID-AUTH,</li> +<li>URL und Geschäftsbereich der Online-Applikation,</li> +<li>die aktuelle Zeit.</li> +</ul> +Anschließend wird +eine XML Antwortseite, die das Kommando zum Signieren (<tt><CreateXMLSignatureRequest></tt>) des generierten +AUTH-Blocks enthält, an den ausgewählten Security-Layer gesendet.</td> +</tr> + +<tr> +<td valign="top">2.5</td> +<td id="block">Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an +MOA-ID-AUTH zurückgesendet.</td> +</tr> + +<tr> +<td valign="top">2.6</td> +<td id="block">MOA-ID-AUTH überprüft den signierten AUTH-Block und legt für den Benutzer die Anmeldedaten +an. Die Anmeldedaten enthalten +<ul> +<li>die bereichsspezifische Personenkennzeichen (bPK),</li> +<li>den signierten AUTH-Block (optional),</li> +<li>die Personenbindung (optional),</li> +<li>die <tt>PersonData</tt>-Struktur aus der Personenbindung (optional),</li> +<li>die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte,</li> +<li>Informationen zur Behörde, falls die Signatur mit einem Behördenzertifikat erzeugt wurde.</li> +</ul> +</td> +</tr> + +<tr> +<td valign="top">2.7</td> +<td id="block">Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite +zum Browser gesendet.</td> +</tr> + +<tr> +<td valign="top">3</td> +<td id="block">Der Browser führt das Redirect zur Proxykomponente durch. Als Parameter wird das von MOA-ID-AUTH +erzeugte SAML-Artifact übergeben.</td> +</tr> + +<tr> +<td valign="top">4</td> +<td id="block">Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten +von MOA-ID-AUTH zu erhal-ten. Danach werden die Anmeldedaten in MOA-ID-AUTH gelöscht.</td> +</tr> + +<tr> +<td valign="top">5</td> +<td id="block">MOA-ID-PROXY liest die Konfigurationsdatei der zugehörigen Online-Applikation, die beschreibt, wie die Anmeldedaten +an die nachfolgende Applikation übergeben werden müssen, und meldet den Benutzer bei der Applikation an.</td> +</tr> + +<tr> +<td valign="top">6</td> +<td id="block">Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA +an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet.</td> +</tr> + + +</table> + + +<h1><a name="foreign" id="foreign"></a>3 Ergänzung für ausländische Bürger</h1> + + <p>Ab der MOA Release 1.4.7 ist es möglich, dass sich auch ausländische Bürger mittels MOA-ID einloggen können. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausländischen Bürgers eine Eintragung im Ergänzungsregister für natürliche Personen gemäß E-Government Gesetz §6(5) vornimmt. Somit ist es möglich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird. </p> + <p>Der Zugang zu diesem Stammzahlenregister-Gateway ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p> + <p>Ab MOA Release 1.5.2 ist es auch möglich, ausländische Bürger über <a href="http://eid-stork.eu/" target="_new">STORK</a> zu authentifizieren. Da auch für diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angeführten Ausführungen auch für STORK.</p> + + + <h1><a name="mandate" id="mandate"></a>4 Online-Vollmachten</h1> + + <p>Ab der MOA Release 1.5.0 werden Online-Vollmachten (für Anwendungen aus dem öffentlichen Bereich) unterstützt. Hierzu werden diese Vollmachten über eine Online-Vollmachten-Service ausgewählt. Der Zugang zu diesem Online-Vollmachten Service ist über eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p> +</div> + +</body> +</html> |