aboutsummaryrefslogtreecommitdiff
path: root/id/server/doc
diff options
context:
space:
mode:
Diffstat (limited to 'id/server/doc')
-rw-r--r--id/server/doc/MOA-ID PreRelease-1.9.98.pdfbin481774 -> 0 bytes
-rw-r--r--id/server/doc/handbook/additional/additional.html199
-rw-r--r--id/server/doc/handbook/application/application.html212
-rw-r--r--id/server/doc/handbook/application/iframe.pngbin0 -> 86175 bytes
-rw-r--r--id/server/doc/handbook/application/login_button.PNGbin0 -> 70066 bytes
-rw-r--r--id/server/doc/handbook/application/mainframe.PNGbin0 -> 59073 bytes
-rw-r--r--id/server/doc/handbook/application/sso_sendassertion.PNGbin0 -> 6041 bytes
-rw-r--r--id/server/doc/handbook/config/config.html813
-rw-r--r--id/server/doc/handbook/faq/faq.html125
-rw-r--r--id/server/doc/handbook/index.html15
-rw-r--r--id/server/doc/handbook/install/install.html46
-rw-r--r--id/server/doc/handbook/intro/anmeldeablauf.pngbin51570 -> 51580 bytes
-rw-r--r--id/server/doc/handbook/intro/intro.html48
-rw-r--r--id/server/doc/handbook/protocol/Assertion.xml81
-rw-r--r--id/server/doc/handbook/protocol/AuthRequest.xml38
-rw-r--r--id/server/doc/handbook/protocol/idp_metadata.xml129
-rw-r--r--id/server/doc/handbook/protocol/openIDconnect_sequenz.pngbin0 -> 121367 bytes
-rw-r--r--id/server/doc/handbook/protocol/protocol.html1164
-rw-r--r--id/server/doc/handbook/protocol/pvp21_sequence.pngbin0 -> 38601 bytes
-rw-r--r--id/server/doc/handbook/protocol/saml1_sequence.pngbin0 -> 32752 bytes
-rw-r--r--id/server/doc/handbook/protocol/serviceprovider_metadata.xml95
-rw-r--r--id/server/doc/handbook/protocol/sso_sequence.pngbin0 -> 56152 bytes
-rw-r--r--id/server/doc/handbook/spec/MOA ID 1.x.wsdl (renamed from id/server/doc/old/MOA ID 1.x.wsdl)82
-rw-r--r--id/server/doc/handbook/spec/MOA-SPSS-2.0.0.wsdl128
-rw-r--r--id/server/doc/handbook/spec/MOA-SPSS-2.0.0.xsd572
-rw-r--r--id/server/doc/handbook/spec/MOA_ID_1.2_20040315.pdf (renamed from id/server/doc/old/MOA_ID_1.2_20040315.pdf)bin577309 -> 577309 bytes
-rw-r--r--id/server/doc/handbook/spec/MOA_ID_1.3_20060315.pdf (renamed from id/server/doc/old/MOA_ID_1.3_20060315.pdf)bin355156 -> 355156 bytes
-rw-r--r--id/server/doc/handbook/spec/MOA_ID_1.4_20070802.pdf (renamed from id/server/doc/old/MOA_ID_1.4_20070802.pdf)bin239502 -> 239502 bytes
-rw-r--r--id/server/doc/handbook/spec/MOA_ID_1.4_Anhang.pdf (renamed from id/server/doc/old/MOA_ID_1.4_Anhang.pdf)bin286834 -> 286834 bytes
-rw-r--r--id/server/doc/handbook/spec/MOA_ID_1.5_Anhang.pdf (renamed from id/server/doc/old/MOA_ID_1.5_Anhang.pdf)bin134176 -> 134176 bytes
-rw-r--r--id/server/doc/handbook/spec/OID-1-0-3.pdf (renamed from id/server/doc/old/OID-1-0-3.pdf)bin347041 -> 347041 bytes
-rw-r--r--id/server/doc/handbook/spec/cs-sstc-schema-assertion-01.xsd (renamed from id/server/doc/old/cs-sstc-schema-assertion-01.xsd)388
-rw-r--r--id/server/doc/handbook/spec/cs-sstc-schema-protocol-01.xsd (renamed from id/server/doc/old/cs-sstc-schema-protocol-01.xsd)254
-rw-r--r--id/server/doc/handbook/usage/usage.html1299
-rw-r--r--id/server/doc/htmlTemplates/BKU-selection.html12
-rw-r--r--id/server/doc/htmlTemplates/template_onlineBKU.html37
-rw-r--r--id/server/doc/moa_id/common/LogoBKA.pngbin8062 -> 0 bytes
-rw-r--r--id/server/doc/moa_id/common/LogoEGIZ.pngbin77395 -> 0 bytes
-rw-r--r--id/server/doc/moa_id/common/MOA.css618
-rw-r--r--id/server/doc/moa_id/examples/BKUSelectionTemplate.html41
-rw-r--r--id/server/doc/moa_id/examples/ChainingModes.txt6
-rw-r--r--id/server/doc/moa_id/examples/IdentityLinkSigners.txt9
-rw-r--r--id/server/doc/moa_id/examples/LoginServletExample.txt171
-rw-r--r--id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml149
-rw-r--r--id/server/doc/moa_id/examples/Template.html50
-rw-r--r--id/server/doc/moa_id/examples/TransformsInfoAuthBlockTable_DE.xml161
-rw-r--r--id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml118
-rw-r--r--id/server/doc/moa_id/examples/conf/OAConfBasicAuth.xml9
-rw-r--r--id/server/doc/moa_id/examples/conf/OAConfHeaderAuth.xml10
-rw-r--r--id/server/doc/moa_id/examples/conf/OAConfParamAuth.xml10
-rw-r--r--id/server/doc/moa_id/examples/moa-id-env.sh.txt15
-rw-r--r--id/server/doc/moa_id/examples/startTomcat.bat.txt26
-rw-r--r--id/server/doc/moa_id/faqs.htm147
-rw-r--r--id/server/doc/moa_id/id-admin.htm33
-rw-r--r--id/server/doc/moa_id/id-admin_0.htm175
-rw-r--r--id/server/doc/moa_id/id-admin_1.htm393
-rw-r--r--id/server/doc/moa_id/id-admin_2.htm1156
-rw-r--r--id/server/doc/moa_id/id-admin_3.htm108
-rw-r--r--id/server/doc/moa_id/id-anwendung.htm35
-rw-r--r--id/server/doc/moa_id/id-anwendung_0.htm35
-rw-r--r--id/server/doc/moa_id/id-anwendung_1.htm141
-rw-r--r--id/server/doc/moa_id/id-anwendung_2.htm176
-rw-r--r--id/server/doc/moa_id/intro.htm182
-rw-r--r--id/server/doc/moa_id/links.htm64
-rw-r--r--id/server/doc/moa_id/moa-id-ablauf.jpgbin15550 -> 0 bytes
-rw-r--r--id/server/doc/moa_id/moa.htm34
-rw-r--r--id/server/doc/moa_images/east.gifbin966 -> 0 bytes
-rw-r--r--id/server/doc/moa_images/idle.gifbin869 -> 0 bytes
-rw-r--r--id/server/doc/moa_images/moa_diagramm1.jpgbin60602 -> 0 bytes
-rw-r--r--id/server/doc/moa_images/moa_thema.gifbin25120 -> 0 bytes
-rw-r--r--id/server/doc/moa_images/north.gifbin967 -> 0 bytes
-rw-r--r--id/server/doc/moa_images/pfeil.gifbin843 -> 0 bytes
-rw-r--r--id/server/doc/moa_images/print.gifbin211 -> 0 bytes
-rw-r--r--id/server/doc/moa_images/select.gifbin880 -> 0 bytes
-rw-r--r--id/server/doc/moa_images/south.gifbin965 -> 0 bytes
-rw-r--r--id/server/doc/moa_images/transdot.gifbin43 -> 0 bytes
-rw-r--r--id/server/doc/moa_images/west.gifbin966 -> 0 bytes
-rw-r--r--id/server/doc/old/Architektur ID.vsdbin318464 -> 0 bytes
-rw-r--r--id/server/doc/old/MOA-ID Feinspezifikation.docbin268288 -> 0 bytes
-rw-r--r--id/server/doc/old/MOA-Testzertifikate.pdfbin33476 -> 0 bytes
-rw-r--r--id/server/doc/old/MOA-Testzertifikate.vsdbin316416 -> 0 bytes
-rw-r--r--id/server/doc/old/bku-auswahl.20030408.pdfbin131587 -> 0 bytes
-rw-r--r--id/server/doc/old/moa-id.htm7
83 files changed, 3731 insertions, 6085 deletions
diff --git a/id/server/doc/MOA-ID PreRelease-1.9.98.pdf b/id/server/doc/MOA-ID PreRelease-1.9.98.pdf
deleted file mode 100644
index 4ee41f513..000000000
--- a/id/server/doc/MOA-ID PreRelease-1.9.98.pdf
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/handbook/additional/additional.html b/id/server/doc/handbook/additional/additional.html
new file mode 100644
index 000000000..25da0e095
--- /dev/null
+++ b/id/server/doc/handbook/additional/additional.html
@@ -0,0 +1,199 @@
+<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
+<html>
+<head>
+ <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" >
+ <title>MOA-ID - Zusatzinformationen</title>
+ <link rel="stylesheet" href="../common/MOA.css" type="text/css">
+</head>
+<body link="#990000">
+ <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
+ <tr>
+ <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
+ <td align="center" class="logoTitle">Dokumentation</td>
+ <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
+ </tr>
+ </table>
+ <hr/>
+ <p class="title"><a href="../index.html">MOA-ID (Identifikation) </a></p>
+<p class="subtitle">Zusatzinformationen</p>
+<hr/>
+ <h1>Inhalt</h1>
+ <ol>
+ <li><a href="#allgemeines">Datenmanagement</a>
+ <ol>
+ <li><a href="#sessiondata">Sessiondaten</a>
+ <ol>
+ <li><a href="#sessiondata_general">Allgemein</a></li>
+ <li><a href="#sessiondata_sso">Single Sign-On</a></li>
+ </ol>
+ </li>
+ <li><a href="#statisticdata">Logging von Statistikdaten</a></li>
+ </ol>
+ </li>
+ </ol>
+<hr/>
+ <h1><a name="allgemeines"></a>1 Datenmanagement</h1>
+ <p>Dieser Abschnitt spezifiziert jene Datens&auml;tze die w&auml;hrend eines Anmeldevorgangs durch das Modul MOA-ID-Auth tempor&auml;r oder permanent gespeichert werden. Hierbei handelt es sich sowohl um tempor&auml;re Sessiondaten als auch um dauerhaft gespeicherte Statistikdaten.</p>
+ <h2><a name="sessiondata" id="sessiondata"></a>1.1 Sessiondaten</h2>
+ <p>Dieser Abschnitt behandelt jene Informationen die das Modul MOA-ID-Auth w&auml;hrend eines Authentifizierungsvorgangs oder w&auml;hrend einer aktiven Single Sign-On Session im Speicher h&auml;lt. Diese Datens&auml;tze werden nach Beendigung des Anmeldevorgangs, bei einfacher Anmeldung, oder nach Beendigung der Single Sign-On Session gel&ouml;scht. Die nachfolgenden Unterkapitel geben eine Aufstellung jener Daten die von MOA-ID im jeweiligen Falle gespeichert werden.</p>
+ <h3><a name="sessiondata_general" id="sessiondata2"></a>1.1.1 Allgemein</h3>
+ <p>Folgende Daten m&uuml;ssen mindestens von MOA-ID gecached werden um einen korrekten Anmeldevorgang zu erm&ouml;glichen.</p>
+ <table border="1" cellspacing="0" cellpadding="0">
+ <tr>
+ <td width="160" valign="top"><p><strong>Element</strong></p></td>
+ <td width="764" valign="top"><p><strong>Beschreibung</strong></p></td>
+ </tr>
+ <tr>
+ <td width="160" valign="top"><p>Authentication Request</p></td>
+ <td width="764" valign="top"><p>Dieser wird von der Online-Applikation als Start des Anmeldevorgangs &uuml;bertragen.</p></td>
+ </tr>
+ <tr>
+ <td width="160" valign="top"><p>Session ID</p></td>
+ <td width="764" valign="top"><p>Wird von MOA-ID generiert und dient zur Identifikation von Datens&auml;tzen.</p></td>
+ </tr>
+ <tr>
+ <td width="160" valign="top"><p>Personenbindung</p></td>
+ <td width="764" valign="top"><p>Die Personenbindung der BenutzerIn oder des Benutzers.</p></td>
+ </tr>
+ <tr>
+ <td width="160" valign="top"><p>AuthBlock</p></td>
+ <td width="764" valign="top"><p>Der Authentifizierungsblock, welcher im Rahmen des Anmeldevorgangs vom der BenutzerIn oder dem Benutzer signiert wird.</p></td>
+ </tr>
+ <tr>
+ <td width="160" valign="top"><p>Signaturzertifikat</p></td>
+ <td width="764" valign="top"><p>Das Signaturzertifikat, welches zur Signierung des Authentifizierungsblocks verwendet wurde.</p></td>
+ </tr>
+ <tr>
+ <td width="160" valign="top"><p>Vollmacht</p></td>
+ <td width="764" valign="top"><p>Die Online-Vollmacht, welche bei einer Anmeldung in Vertretung ausgew&auml;hlt wurde.</p></td>
+ </tr>
+ <tr>
+ <td width="160" valign="top"><p>STORK</p></td>
+ <td width="764" valign="top"><p>Alle Attribute, welche bei einer Anmeldung mittels STORK &uuml;bertragen werden.</p></td>
+ </tr>
+ <tr>
+ <td valign="top">AuthTimeStamp</td>
+ <td valign="top">Zeitpunkt an dem sich die BenutzerIn oder der Benutzer an MOA-ID-Auth authentifiziert hat.</td>
+ </tr>
+ </table>
+<h3><a name="sessiondata_sso" id="sessiondata3"></a>1.1.2 Single Sign-On</h3>
+<p>Im Falle einer Anmeldung mit Single Sign-In werden zus&auml;tzlich zu den oben genannten Elementen noch weitere Datens&auml;tze gecached.</p>
+<table border="1" cellspacing="0" cellpadding="0">
+ <tr>
+ <td width="159" valign="top"><p><strong>Element</strong></p></td>
+ <td width="760" valign="top"><p><strong>Beschreibung</strong></p></td>
+ </tr>
+ <tr>
+ <td width="159" valign="top"><p>SSO Session Token</p></td>
+ <td width="760" valign="top"><p>Das SSO Session Token dient zur Identifizierung einer aktuell bestehenden Single Sign-On Session.</p></td>
+ </tr>
+ <tr>
+ <td valign="top">UpdateTimeStamp</td>
+ <td valign="top">Zeitpunkt des letzten Zugriffs der BenutzerIn oder des Benutzers mittels SSO.</td>
+ </tr>
+ <tr>
+ <td width="159" valign="top"><p>Liste: ung&uuml;ltige SSO Token</p></td>
+ <td width="760" valign="top"><p>Eine Liste aller in dieser Single Sign-On Session bereits vergebenen und verwendeten SSO Session Token. </p></td>
+ </tr>
+ <tr>
+ <td width="159" valign="top"><p>Liste:&nbsp; Online-Applikationen</p></td>
+ <td width="760" valign="top"><p>Eine Liste aller Onlineapplikationen an denen im Rahmen dieser SSO Session eine Anmeldung stattgefunden hat.</p></td>
+ </tr>
+</table>
+<h2><a name="statisticdata" id="statisticdata"></a>1.2 Logging von Statistikdaten</h2>
+<p align="left">Zus&auml;tzlich zu den Daten aus den tempor&auml;ren Sessiondaten werden vom Modul MOA-ID-Auth auch Logging- und Statistikdaten generiert, welche nicht automatisiert gel&ouml;scht werden. Diese Daten dienen der Statuskontrolle und zur Protokollierung von Anmeldevorg&auml;ngen an MOA-ID-Auth. Von MOA-ID-Auth werden folgende <a href="./../config/config.html#basisconfig_moa_id_auth_param_database_info">Statistikdaten</a> je Anmeldevorgang gespeichert, wobei je nach Art der Anmeldung nicht alle Datenelemente gef&uuml;llt werden. Die nachstehende Tabelle beschreibt den maximalen Umfang der Loggingdaten, wobei keine Informationen zur anmeldenden Person gespeichert werden.</p>
+<table border="1" cellspacing="0" cellpadding="0">
+ <tr>
+ <td width="163" valign="top"><p><strong>Element</strong></p></td>
+ <td width="757" valign="top"><p><strong>Beschreibung</strong></p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>timestamp</p></td>
+ <td width="757" valign="top"><p>Datum und Uhrzeit des Eintrags.</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>OAID</p></td>
+ <td width="757" valign="top"><p>Eindeutige Datenbank ID der Online-Applikation.</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>OAURLPrefix</p></td>
+ <td width="757" valign="top"><p>Publik URL Prefix der Online-Applikation</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>OAFriendlyName</p></td>
+ <td width="757" valign="top"><p>Bezeichnung der Online-Applikation</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>isBusinessService</p></td>
+ <td width="757" valign="top"><p>&bdquo;True&ldquo; wenn die Online-Applikation aus dem privatwirtschaftlichen Bereich stammt.</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>OATarget</p></td>
+ <td width="757" valign="top"><p>Bereichskennzeichen der Online-Applikation (Target oder privatwirtschaftlicher Bereich)</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>BKUType</p></td>
+ <td width="757" valign="top"><p>Art der B&uuml;rgerkartenumgebung die f&uuml;r den Anmeldevorgang verwendet wurde. (online, local, handy)</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>BKUURL</p></td>
+ <td width="757" valign="top"><p>URL der verwendeten B&uuml;rgerkartenumgebung</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>isSSOLogin</p></td>
+ <td width="757" valign="top"><p>&bdquo;True&ldquo; wenn die die Anmeldung als Teil einer SSO Anmeldung erfolgt ist.</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>isMandateLogin</p></td>
+ <td width="757" valign="top"><p>&bdquo;True&ldquo; wenn die Anmeldung in Vertretung erfolgt ist.</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>MandateType</p></td>
+ <td width="757" valign="top"><p>Art der verwendeten Vollmacht (Einzelprofile des Vollmachtenservice oder OID des Organwalters / berufsm&auml;&szlig;igen Parteienvertreters)</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>MandatorType</p></td>
+ <td width="757" valign="top"><p>&bdquo;jur&ldquo; / &bdquo;nat&ldquo; je nach Art der vertretenen juristischen oder nat&uuml;rlichen Person</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>isPV</p></td>
+ <td width="757" valign="top"><p>&bdquo;True&ldquo; wenn die Anmeldung in Vertretung durch einen Organwalter oder berufsm&auml;&szlig;igen Parteienvertreter erfolgt ist.</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>PVOID</p></td>
+ <td width="757" valign="top"><p>OID des Organwalter oder berufsm&auml;&szlig;igen Parteienvertreter</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>ProtocolType</p></td>
+ <td width="757" valign="top"><p>Type des f&uuml;r die Anmeldung verwendeten Authentifizierungsprotokolls. (PVP21, OpenID, SAML1)</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>ProtocolSubType</p></td>
+ <td width="757" valign="top"><p>N&auml;here Spezifizierung des Protokolltypes. (Im Falle von PVP 2.1: POST oder Redirect)</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>ExceptionType</p></td>
+ <td width="757" valign="top"><p>Typ des Fehlers der w&auml;hrend des Anmeldevorgangs aufgetreten ist. Aktuell werden folgende Typen unterschieden:</p>
+ <ul>
+ <li><strong>bku</strong>: Fehler w&auml;hrend der Kommunikation mit der B&uuml;rgerkartenumgebung.</li>
+ <li> <strong>moa-sp</strong>: Fehler bei der Kommunikation mit MOA-SP oder der Signaturpr&uuml;fung.</li>
+ <li> <strong>mandate</strong>: Fehler beim Zugriff auf das Online-Vollmachten Service.</li>
+ <li> <strong>moa-id</strong>: Fehler w&auml;hrend des Authentifizierungsvorgangs.</li>
+ <li><strong>unknow</strong>n: f&uuml;r allgemeine Fehler die keinem der oben genannten Typen entsprechen.</li>
+ </ul> </td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>ExceptionCode</p></td>
+ <td width="757" valign="top"><p>Fehlercode des aufgetretenen Fehlers falls vorhanden.</p></td>
+ </tr>
+ <tr>
+ <td width="163" valign="top"><p>ExceptionMessage</p></td>
+ <td width="757" valign="top"><p>Fehlermeldung in textueller Form (max. 255 Zeichen lang)</p></td>
+ </tr>
+</table>
+<p align="left">&nbsp;</p>
+<p>&nbsp;</p>
+ <p>&nbsp;</p>
+<p>&nbsp;</p>
+</body>
+</html>
diff --git a/id/server/doc/handbook/application/application.html b/id/server/doc/handbook/application/application.html
new file mode 100644
index 000000000..83e301089
--- /dev/null
+++ b/id/server/doc/handbook/application/application.html
@@ -0,0 +1,212 @@
+<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
+<html>
+<head>
+ <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" >
+ <title>MOA-ID - Anwendungen</title>
+ <link rel="stylesheet" href="../common/MOA.css" type="text/css">
+</head>
+<body link="#990000">
+ <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
+ <tr>
+ <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
+ <td align="center" class="logoTitle">Dokumentation</td>
+ <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
+ </tr>
+ </table>
+ <hr/>
+ <p class="title"><a href="../index.html">MOA-ID (Identifikation) </a></p>
+<p class="subtitle">Anwendungen</p>
+ <hr/>
+ <h1>Inhalt</h1>
+ <ol>
+ <li><a href="#allgemeines">Allgemeines</a></li>
+ <li><a href="#bkuselection">Integration in bestehende Online-Applikationen</a>
+<ol>
+ <li><a href="#bkuselection">B&uuml;rgerkartenauswahl</a>
+<ol>
+<li><a href="#Request aus einem iFrame">Request aus einem iFrame</a></li>
+ <li><a href="#Request aus dem Hauptframe">Request aus dem Hauptframe</a></li>
+ </ol>
+ </li>
+ <li><a href="#Single Sign-On Anmeldeabfrage">Single Sign-On Anmeldeabfrage</a></li>
+ </ol>
+ </li>
+ <li><a href="DemoApp">Demo Applikationen</a>
+ <ol>
+ <li><a href="#DemoApp_pvp21">PVP 2.1 Demo</a>
+ <ol>
+ <li><a href="#DemoApp_pvp21_install">Installation</a></li>
+ <li><a href="#DemoApp_pvp21_config">Konfiguration Demo Applikation</a></li>
+ <li><a href="#DemoApp_pvp21_config_moaidauth">Konfiguration von MOA-ID-Auth</a></li>
+ <li><a href="#DemoApp_pvp21_use">Anwendung</a></li>
+ </ol>
+ </li>
+ </ol>
+ </li>
+ </ol>
+ <hr/>
+ <h1><a name="allgemeines"></a>1 Allgemeines</h1>
+ <p>Das erste Kapitel behandelt die Integration der von MOA-ID-Auth generierten B&uuml;rgerkartenauswahl in bestehende Online-Applikationen. Zus&auml;tzlich zur Beschreibung ist MOA-ID auch eine PVP 2.1 Demo Applikation beigelegt. Die Konfiguration und Verwendung dieser Demo Applikation ist Inhalt des letzten Kapitels.</p>
+<h1><a name="bkuselection" id="allgemeines_zugangspunkte2"></a>2 Integration in bestehende Online-Applikationen</h1>
+ <p>Ab MOA-ID 2.0 wird die B&uuml;rgerkartenauswahl und die Single Sign-On Anmeldeabfrage standardm&auml;&szlig;ig vom Modul MOA-ID-Auth bereitgestellt und muss nicht mehr durch den Service Provider implementiert werden.</p>
+ <p>Die im Modul MOA-ID-Auth hinterlegten Standard Templates (<a href="./../config/config.html#import_template_bku">B&uuml;rgerkartenauswahl</a>, <a href="./../config/config.html#import_template_sso">Single Sign-On Anmeldeabfrage</a>) unterst&uuml;tzt Responsive Design und passen sich somit in einem weiten Bereich an die aktuelle Fenstergr&ouml;&szlig;e an, wodurch eine individuelle Integration der von MOA-ID-Auth erzeugten Formulare m&ouml;glich ist. Zus&auml;tzlich bietet das Konfigurationstool die M&ouml;glichkeit der <a href="./../config/config.html#konfigurationsparameter_oa_additional_formular">online-applikationsspezifischen Anpassung der Standard Templates</a>. Mit dieser Funktion k&ouml;nnen einzelne Parameter der Standard Templates an die Online-Applikation individualisiert werden um die Integration weiter zu verfeinern.</p>
+ <p><strong>Hinweis:</strong> Es besteht jedoch auch die M&ouml;glichkeit der Hinterlegung von vollst&auml;ndig benutzerdefinierten online-applikationsspezifischen Templates f&uuml;r die B&uuml;rgerkartenauswahl und die Single Sign-On Anmeldeabfrage (siehe <a href="./../config/config.html#konfigurationsparameter_oa_bku">hier</a>).</p>
+<h2><a name="bkuselection" id="allgemeines_zugangspunkte6"></a>2.1 B&uuml;rgerkartenauswahl</h2>
+<p>Die B&uuml;rgerkartenauswahl wird ab MOA-ID 2.0 standardm&auml;&szlig;ig von MOA-ID-Auth, als Antwort auf einen eingehenden Authentifizierungsrequest, bereitgestellt. Dem zu Folge m&uuml;ssen die aus MOA-ID 1.5.1 bekannten Parameter (target, bkuURL, template, usemandate) nicht mehr im Authentifizierungsrequest an MOA-ID-Auth &uuml;bergeben werden und es kann ein standardkonformer Protokollrequest verwendet werden. Die aus MOA-ID 1.5.1 bekannte Variante der B&uuml;rgerkartenauswahl in der Online-Applikation des Service Providers steht jedoch weiterhin als <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Variante</a> zur Verf&uuml;gung.</p>
+<p>Die Integration der von MOA-ID-Auth bereitgestellten B&uuml;rgerkartenauswahl in eine bestehende Online-Applikation kann auf zwei Arten erfolgen. Bei beiden Varianten erfolgt der Login Vorgang (senden des Authentifizierungsrequests an MOA-ID-Auth) durch den Klick auf einen Login Button. Die Auswahl der B&uuml;rgerkartenumgebung erfolgt somit erst im zweiten Schritt. Das Sequenzdiagramm eines solchen Anmeldevorgangs finden Sie <a href="./../intro/intro.html#ablauf">hier</a> und die nachfolgende Grafik zeigt ein Beispiel zur Integration eines Login Buttons.</p>
+<p><img src="login_button.PNG" width="853" height="683" alt="Integration Login Button"></p>
+<h3><a name="bkuselection_iframe" id="allgemeines_zugangspunkte5"></a>2.1.1 Request aus einem iFrame</h3>
+<p>Bei dieser Variante wird der Authentifizierungsrequests aus einem iFrame, welcher in die Online-Applikation eingebunden ist, abgesetzt. MOA-ID-Auth antwortet auf diesen Request mit der konfigurierten B&uuml;rgerkartenauswahl welche durch Verwendung des iFrame in die Online-Applikation eingebunden werden kann. Die nachfolgende Grafik zeigt ein Beispiel f&uuml;r die von MOA-ID-Auth bereitgestellte B&uuml;rgerkartenauswahl, welche nach Bet&auml;tigung des Login Buttons im iFrame dargestellt wird. </p>
+<p><img src="iframe.png" width="752" height="764" alt="B&uuml;rgerkartenauswahl im iFrame"></p>
+<p><strong>Hinweis:</strong> Bei dieser Variante wird die Assertion ebenfalls an den iFrame ausgeliefert wodurch der authentifizierte Bereich der Online-Applikation im iFrame dargestellt wird. Dieses Verhalten kann durch eine <a href="./../config/config.html#konfigurationsparameter_oa_additional_formular">online-applikationsspezifischen Anpassung der Standard Templates</a> und dem Parameter <em>Targetparameter</em> unterbunden werden.</p>
+<h3><a name="bkuselection_mainframe" id="allgemeines_zugangspunkte7"></a>2.1.2 Request aus dem Hauptframe</h3>
+<p>Bei dieser Variante wird der Authentifizierungsrequests direkt aus dem aktuell offenen Browserfenster an MOA-ID-Auth gesendet. In diesem Fall wird die B&uuml;rgerkartenauswahl fensterf&uuml;llend im Browser dargestellt und die BenutzerIn oder der Benutzer befindet sich nicht mehr in der Domain der Online-Applikation (Service Providera). Nach erfolgreicher Authentifizierung wird die BenutzerIn oder der Benutzer an die Online-Applikation zur&uuml;ckgeleitet. Die nachfolgende Grafik zeigt die B&uuml;rgerkartenauswahl im seitenf&uuml;llenden Layout.</p>
+<p><img src="mainframe.PNG" width="1330" height="822" alt="B&uuml;rgerkartenauswahl im seitenf&uuml;llenden Layout"></p>
+<h2><a name="ssoquestion" id="allgemeines_zugangspunkte3"></a> 2.2 Single Sign-On Anmeldeabfrage</h2>
+<p>Wird f&uuml;r die Integration in die Online-Applikation die Variante mit dem Login Button und der von MOA-ID-Auth bereitgestellten B&uuml;rgerkartenauswahl verwendet (<a href="#bkuselection_iframe">iFrame</a> oder <a href="#bkuselection_mainframe">Hauptframe</a>), ergeben sich f&uuml;r die Single Sign-On Anmeldeabfrage keine zus&auml;tzlichen Anforderungen. Im Falle einer aktiven Single Sign-On Session, w&uuml;rde MOA-ID-Auth mit der Single Sign-On Anmeldeabfrage anstatt der B&uuml;rgerkartenauswahl antworten. Auch in diesem Fall stehen beide M&ouml;glichkeiten der Integration, identisch zum Kapitel B&uuml;rgerkartenauswahl, zur Verf&uuml;gung. Die nachfolgende Grafik zeigt eine Single Sign-On Abfrage welche je nach verwendeter Variante die B&uuml;rgerkartenauswahl, in den zuvor gezeigten Beispielen, ersetzen w&uuml;rde.</p>
+<p><img src="sso_sendassertion.PNG" width="383" height="240" alt="Single Sign-On Anmeldeabfrage"></p>
+<p><strong>Hinweis:</strong> Wird f&uuml;r die Integration der B&uuml;rgerkartenauswahl jedoch die <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Variante</a> verwendet (direkte Integration der B&uuml;rgerkartenauswahl in die Online-Applikation) kann es zu Inkompatibilit&auml;ten mit der Single Sign-On Anmeldeabfrage kommen, da diese Abfrage von MOA-ID-Auth generiert werden muss und eine direkte Integration in eine Online-Applikation nicht m&ouml;glich ist. </p>
+<h2><a name="DemoApp" id="allgemeines_zugangspunkte4"></a>3 Demo Applikationen</h2>
+<p>Diese Abschnitt behandelt die Konfiguration und Verwendung der bei MOA-ID beigelegten Demo Applikationen.</p>
+<h2><a name="DemoApp_pvp21" id="allgemeines_zugangspunkte"></a>3.1 PVP 2.1 Demo</h2>
+<p>Die PVP 2.1 Demo stellt das Minimalbeispiel einer Online-Applikation dar, welche zur Authentifizierung das Protokoll PVP 2.1 verwendet. Die nachfolgenden Abschnitte beschreiben die Installation, Konfiguration und Verwendung der PVP 2.1 Demo Applikation.</p>
+<p><strong>Hinweis:</strong> Der Source Code der PVP 2.1 Demo Applikation ist im Order <code>$MOA_ID_AUTH_INST/source/moa-id-oa</code> verf&uuml;gbar. Jedoch ist die Validierung der PVP 2.1 Assertion in dieser Version nicht vollst&auml;ndig implementiert und m&uuml;sste bei Verwendung in einem Produktivsystem noch erweitert werden.</p>
+<h3><a name="DemoApp_pvp21_install" id="allgemeines_zugangspunkte9"></a>3.1.1 Installation</h3>
+<p>F&uuml;r die Installation der Demo Applikation wird ein Apache Tomcat ben&ouml;tigt. Die Konfiguration dieser Tomcat Instanz ist identisch zur <a href="./../install/install.html#webservice_basisinstallation">Konfiguration der Tomcat Instanz</a> der Module MOA-ID-Auth und MOA-ID-Configuration.</p>
+<h5><a name="DemoApp_pvp21_install_demooa" id="allgemeines_zugangspunkte10"></a>3.1.1.1 Einsatz der Demo Applikation in Tomcat</h5>
+<ul>
+ <li>Die Datei <code>$MOA_ID_AUTH_INST/moa-id_oa.war</code> enth&auml;lt das einsatzfertige Webarchiv der Demo Applikation und muss ins Verzeichnis <code>$CATALINA_HOME/webapps</code> kopiert werden. Dort wird sie beim ersten Start von Tomcat automatisch ins Verzeichnis <code>$CATALINA_HOME/webapps/moa-id-oa</code> entpackt. </li>
+ <li>Die Konfigurationsdatei mit der Basiskonfiguration f&uuml;r die Demo Applikation und die zugeh&ouml;rigen Verzeichnisse m&uuml;ssen in ein beliebiges Verzeichnis im Dateisystem kopiert werden (z.B. <code>$CATALINA_HOME/conf/moa-id-oa</code>). Eine funktionsf&auml;hige Konfiguration, die als Ausgangspunkt f&uuml;r die Basiskonfiguration der Demo Applikation dienen kann, finden Sie <a href="../../../conf/moa-id-oa/oa.properties">hier</a>. <br>
+ </li>
+ <li> Die Dateien <code>xalan.jar</code>, <code>xercesImpl.jar, serializer.jar </code> und <code>xml-apis.jar</code> aus dem Verzeichnis <code>$MOA_ID_AUTH_INST/endorsed</code> m&uuml;ssen in das Tomcat-Verzeichnis <code>$CATALINA_HOME/endorsed</code> (bzw. <code>$CATALINA_HOME/common/endorsed</code> bis Apache Tomcat Version 5.5) kopiert werden. Sind gleichnamige Dateien dort bereits vorhanden, m&uuml;ssen sie &uuml;berschrieben werden. Die ggf. in diesem Verzeichnis vorhandene Datei <code>xmlParserAPIs.jar</code> muss gel&ouml;scht werden. Sollte das Verzeichnis <code>endorsed</code> nicht vorhanden sein, dann muss dieses zuerst erstellt werden.</li>
+ <li>Folgende <span class="term">System Properties</span> k&ouml;nnen gesetzt werden (wird beim Starten von Tomcat der <span class="term">Java Virtual Machine</span> in der Umgebungsvariablen <code>CATALINA_OPTS</code> in der Form <code>-D&lt;name&gt;=&lt;wert&gt;</code> &uuml;bergeben):
+ <ul>
+ <li><code>moa.id.demoOA</code>: Pfad und Name der Basiskonfigurationsdatei f&uuml;r die Demo Applikation. Eine beispielhafte Konfigurationsdatei fnden Sie <a href="../../../conf/moa-id-oa/oa.properties">hier</a>. Wird ein relativer Pfad angegeben, wird dieser relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
+ <li><code>log4j.configuration</code>: URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration finden Sie <a href="../../../conf/moa-spss/log4j.properties">hier</a>. Wird eine relative URL angegeben, wird diese als File-URL relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert. Ist diese <span class="term">System Property</span> nicht gesetzt, wird automatisch eine im Webarchiv unter <code>WEB-INF/classes</code> enthaltene Default-Konfiguration herangezogen.</li>
+ <li><code>javax.net.ssl.trustStore</code>: Pfad und Dateiname des <span class="term">Truststores</span> f&uuml;r vertrauensw&uuml;rdige SSL Client-Zertifikate (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). Ein relativer Pfad werden relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
+ <li><code>javax.net.ssl.trustStorePassword</code>: Passwort f&uuml;r den <span class="term">Truststore</span> (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). </li>
+ <li><code>javax.net.ssl.trustStoreType</code>: Truststore-Typ (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). Je nach verwendetem Keystore-Typ muss <code>jks</code> (<span class="term">Java Key Store</span>) oder <code>pkcs12</code> (PKCS#12-Datei) angegeben werden.</li>
+ </ul>
+ </li>
+</ul>
+<h4><a name="DemoApp_pvp21_install_start" id="allgemeines_zugangspunkte11"></a>3.1.1.2 Einsatz der Demo Applikation in Tomcat</h4>
+<p>Das starten und stoppen der Demo Applikation erfolgt identisch zur Beschreibung f&uuml;r die Module MOA-ID-Auth und MOA-ID-Configuration.</p>
+<p>Ein erfolgreicher Start der Demo Applikation ist an folgender Log-Meldung ersichtlich:</p>
+<pre>INFO at.gv.egovernment.moa.id.demoOA.Configuration - Demo Application initializaten finished.</pre>
+<p>Nach dem Starten von Tomcat steht die Demo Applikation zur Verf&uuml;gung.</p>
+<pre>http://&lt;host&gt;:&lt;port&gt;/moa-id-oa/</pre>
+<p>bzw. </p>
+<pre>
+https://&lt;host&gt;:&lt;port&gt;/moa-id-oa/
+</pre>
+<h3><a name="DemoApp_pvp21_config" id="allgemeines_zugangspunkte8"></a>3.1.2 Konfiguration Demo Applikation</h3>
+<p>Die zentrale Konfigurationsdatei f&uuml;r die Demo Applikation wird der <span class="term">Java Virtual Machine</span>, in der die Demo Applikation l&auml;uft, durch eine <span class="term">System Property </span> mitgeteilt (wird beim Starten der <span class="term">Java Virtual Machine</span> in der Form <code>-D&lt;name&gt;=&lt;wert&gt;</code> gemacht). Der Name der <span class="term">System Property</span> lautet <code>moa.id.demoOA</code> als Wert der <span class="term">System Property</span> ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.</p>
+<pre>moa.id.demoOA=C:/Programme/apache/tomcat-4.1.30/conf/moa-id-oa/oa.properties</pre>
+<p>Dieses Konfigurationsdatei beinhaltet folgende Parameter. </p>
+<table width="1247" border="1">
+ <tr>
+ <th width="395" scope="col">Name</th>
+ <th width="271" scope="col">Beispielwert</th>
+ <th width="559" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.idp.metadata.url</td>
+ <td>https://demo.egiz.gv.at/moa-id-auth/<br>
+ pvp2/metadata</td>
+ <td>URL unter der die PVP2.1 Metadaten des IDP abgeholt werden k&ouml;nnen.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.idp.metadata.certificate</td>
+ <td>keys/metadata.crt</td>
+ <td>Zertifikat mit dem die PVP2.1 Metadaten des IDP signiert sind. Dieser Zertifikat wird zur Pr&uuml;fung der IDP Metadaten verwendet.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.idp.metadata.entityID</td>
+ <td>https://demo.egiz.gv.at/moa-id-auth/</td>
+ <td>EntityID des IDP in den Metadaten (Details siehe PVP2.1 Spezifikation)</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.idp.sso.logout.url</td>
+ <td>https://demo.egiz.gv.at/moa-id-auth/LogOut?redirect=<br>
+ https://demo.egiz.gv.at/moa-id-oa</td>
+ <td>URL zum Single Log-Out (SLO) Service des IDP. Details zum SLO Service von MOA-ID-Auth finden Sie <a href="./protocol/protocol.html#allgemeines_ssologout">hier</a>.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.metadata.entities.name</td>
+ <td>PVP 2.1 Demo</td>
+ <td>Name der Applikation, welcher in den Metadaten der Applikation angegeben wird</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.url</td>
+ <td>keys/moa_idp.p12</td>
+ <td>Keystore mit Schl&uuml;ssel und Zertifikaten welche f&uuml;r das signieren und verschl&uuml;sseln der PVP2.1 Nachrichten verwendet werden sollen.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.password</td>
+ <td>123456</td>
+ <td>Passwort des Keystores</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.type</td>
+ <td>PKCS12</td>
+ <td><p>Type des Keystores. Aktuell werden folgene Keystore Typen unterst&uuml;tzt</p>
+ <ul>
+ <li>PKCS12: PKCS12 Keystor</li>
+ <li>JKS: Java-Keystore</li>
+ </ul></td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.metadata.key.alias</td>
+ <td>metadata</td>
+ <td>Name des Schl&uuml;ssels der zum Signieren der Metadaten des Modules MOA-ID-Configuration verwendet werden soll</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.metadata.key.password</td>
+ <td>123456</td>
+ <td>Passwort des Schl&uuml;ssels der zum Signieren der Metadaten verwendet werden soll.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.authrequest.encryption.key.alias</td>
+ <td>encryption</td>
+ <td>Name des Schl&uuml;ssels der zum Verschl&uuml;sseln der Anmeldeinformation, welche vom IDP an das Konfigurationstool &uuml;bermittelt, verwendet werden soll</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.authrequest.encryption.key.password</td>
+ <td>123456</td>
+ <td>Passwort des Schl&uuml;ssels zum Verschl&uuml;sseln der Anmeldeinformation.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.authrequest.key.alias</td>
+ <td>authrequest</td>
+ <td>Name des Schl&uuml;ssels zum Signieren des Authentifizierungsrequests der an den IDP gestellt wird.</td>
+ </tr>
+ <tr>
+ <td>general.login.pvp2.keystore.authrequest.key.password</td>
+ <td>123456</td>
+ <td>Passwort des Schl&uuml;ssels zum Signieren des Authentifizierungsrequests.</td>
+ </tr>
+</table>
+<p>&nbsp;</p>
+<p>Die Metadaten des Modules MOA-ID-Configuration werden dynamisch erstellt und stehen unter folgender URL zum Download bereit.</p>
+<pre>
+http://&lt;host&gt;:&lt;port&gt;/moa-id-oa/servlet/metadata</pre>
+<p>bzw. </p>
+<pre>
+https://&lt;host&gt;:&lt;port&gt;/moa-id-oa/servlet/metadata</pre>
+<p>Nach erfolgreicher Konfiguration muss die Tomcat Instanz neu gestartet werden.</p>
+<h3><a name="DemoApp_pvp21_config_moaidauth" id="allgemeines_zugangspunkte13"></a>3.1.3 Konfiguration von MOA-ID-Auth</h3>
+<p>Bevor ein Anmeldevorgang gestartet werden kann muss die Demo Applikation auch als Online-Applikation f&uuml;r das Modul MOA-ID-Auth konfiguriert werden. Hierf&uuml;r kann das Konfigurationstool (Modul MOA-ID-Configuration) verwendet werden. Tragen Sie die Demo Applikation als Online-Applikation bei Ihrer MOA-ID-Auth Instanz ein. Eine Beschreibung der einzelnen Konfigurationsparameter finden Sie <a href="./../config/config.html#konfigurationsparameter_oa">hier</a>.</p>
+<h3><a name="DemoApp_pvp21_use" id="allgemeines_zugangspunkte12"></a>3.1.4 Anwendung</h3>
+<p>Nach dem Starten von Tomcat steht die Demo Applikation zur Verf&uuml;gung.</p>
+<pre>http://&lt;host&gt;:&lt;port&gt;/moa-id-oa/</pre>
+<p>bzw. </p>
+<pre>
+https://&lt;host&gt;:&lt;port&gt;/moa-id-oa/
+</pre>
+<p>Die Startseite der Demo Applikation beinhaltet einen kurzen Beschreibungstext und den Login Button zum Start des Anmeldevorgangs. F&uuml;r die Integration der B&uuml;rgerkartenumgebung verwendet die Demo die im <a href="#bkuselection_iframe">Kapitel 2.1.1</a> beschriebenen iFrame Variante. Nach Bet&auml;tigung des Login Buttons wird der Anmeldevorgang gestartet. Der Protokollablauf ist identisch zu dem im Kapitel Protokolle beschiebenen Ablauf f&uuml;r das <a href="./../protocol/protocol.html#pvp21_sequenz">PVP 2.1 Protokoll</a>.</p>
+<p>Konnten die Metadaten und der Authentifizierungsrequest erfolgreich verifiziert werden, wird anschlie&szlig;end die B&uuml;rgerkartenauswahl in der Hauptseite der Demo Applikation dargestellt. W&auml;hlen Sie nur die gew&uuml;nschte Authentifizierungsvariante. Danach erfolgt die Authentifizierung mittels der gew&auml;hlten Variante. </p>
+<p>Nach erfolgreicher Authentifizierung werden Sie an die Demo Applikation zur&uuml;ckgeleite. Diese extrahiert einige Basisdaten aus der PVP 2.1 Assertion und stellt diese im Browser dar. Zus&auml;tzlich kann die gesamte &uuml;bertragene PVP 2.1 Assertion angezeigt werden.</p>
+<p>Wurde der Anmeldevorgang durch einen Fehler abgebrochen werden Sie ebenfalls an die Demo Applikation zur&uuml;ckgeleitet. In diesem Fall wird eine kurze Fehlerbeschreibung dargestellt. Eine ausf&uuml;hrliche Fehlerbeschreibung kann der PVP 2.1 Assertion entnommen werden.</p>
+<p>&nbsp;</p>
+</body>
+</html>
diff --git a/id/server/doc/handbook/application/iframe.png b/id/server/doc/handbook/application/iframe.png
new file mode 100644
index 000000000..dcc6a932d
--- /dev/null
+++ b/id/server/doc/handbook/application/iframe.png
Binary files differ
diff --git a/id/server/doc/handbook/application/login_button.PNG b/id/server/doc/handbook/application/login_button.PNG
new file mode 100644
index 000000000..36d8921ce
--- /dev/null
+++ b/id/server/doc/handbook/application/login_button.PNG
Binary files differ
diff --git a/id/server/doc/handbook/application/mainframe.PNG b/id/server/doc/handbook/application/mainframe.PNG
new file mode 100644
index 000000000..0e597d3fc
--- /dev/null
+++ b/id/server/doc/handbook/application/mainframe.PNG
Binary files differ
diff --git a/id/server/doc/handbook/application/sso_sendassertion.PNG b/id/server/doc/handbook/application/sso_sendassertion.PNG
new file mode 100644
index 000000000..1a2ca6a67
--- /dev/null
+++ b/id/server/doc/handbook/application/sso_sendassertion.PNG
Binary files differ
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index 11be84dcd..f614be075 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -17,39 +17,158 @@
<p class="title"><a href="../index.html">MOA-ID (Identifikation) </a></p>
<p class="subtitle">Konfiguration</p>
<hr/>
- <h1>Inhalt</h1>
+<h1>Inhalt</h1>
<ol>
<li>
<p><a href="#uebersicht">&Uuml;bersicht</a></p>
<ol>
- <li><a href="#uebersicht_allgemeines">Allgemeines</a> </li>
+ <li><a href="#uebersicht_ablauf">Empfohlener Konfigurationsablauf</a> </li>
+ </ol>
+ </li>
+ <li><a href="#uebersicht_zentraledatei">Basiskonfiguration</a>
+ <ol>
+ <li><a href="#uebersicht_zentraledatei_aktualisierung">MOA-ID-Configuration</a>
+ <ol>
+ <li><a href="#moa_id_config_property">Bekanntmachung der Konfigurationsdatei</a></li>
+ <li><a href="#moa_id_config_parameters">Konfigurationsparameter</a>
+ <ol>
+ <li><a href="#moa_id_config_parameters_generel">Allgemeine Konfigurationsparameter</a></li>
+ <li><a href="#moa_id_config_parameters_database">Datenbankzugriff</a></li>
+ <li><a href="#moa_id_config_parameters_pvp2">B&uuml;rgerkarten LogIn</a></li>
+ <li><a href="#moa_id_config_parameters_mail">Mailversand</a></li>
+ </ol>
+ </li>
+ <li><a href="#moa_id_config_init">Initialisierung des Modules MOA-ID-Configuration</a></li>
+ <li><a href="#moa_id_config_user">Benutzerverwaltung</a>
+<ol>
+ <li><a href="#moa_id_config_user_add">Einen neuen Benutzer erstellen</a></li>
+ <li><a href="#moa_id_config_user_role">Benutzerrechte</a></li>
+ </ol>
+ </li>
+ </ol>
+ </li>
+ <li><a href="#basisconfig_moa_id_auth">MOA-ID-Auth</a>
+<ol>
+ <li><a href="#uebersicht_bekanntmachung">Bekanntmachung der Konfigurationsdatei</a></li>
+ <li><a href="#basisconfig_moa_id_auth_param">Konfigurationsparameter</a>
+<ol>
+ <li><a href="#basisconfig_moa_id_auth_param_general">Allgemeine Konfigurationsparameter</a></li>
+ <li><a href="#basisconfig_moa_id_auth_param_services">Externe Services</a>
+ <ol>
+ <li><a href="#basisconfig_moa_id_auth_param_services_moasp">MOA-SP</a></li>
+ <li><a href="#basisconfig_moa_id_auth_param_services_mandates">Online-Vollmachen</a></li>
+ <li><a href="#">Foreign Identities</a></li>
+ </ol>
+ </li>
+ <li><a href="#basisconfig_moa_id_auth_param_protocol">Protokolle</a>
+ <ol>
+ <li><a href="#basisconfig_moa_id_auth_param_protocol_pvp21">PVP 2.1</a></li>
+ <li><a href="#basisconfig_moa_id_auth_param_protocol_openid">OpenID Connect</a></li>
+ </ol>
+ </li>
+ <li><a href="#basisconfig_moa_id_auth_param_database">Datenbank </a>
+ <ol>
+ <li><a href="#basisconfig_moa_id_auth_param_database_conf">Konfiguration</a></li>
+ <li><a href="#basisconfig_moa_id_auth_param_database_session">Session Informationen</a></li>
+ <li><a href="#basisconfig_moa_id_auth_param_database_info">Statistikdaten</a></li>
+ </ol>
+ </li>
+ <li> <a href="#basisconfig_moa_id_auth_param_testing">Testing</a></li>
+</ol>
+</li>
+ </ol>
+ </li>
+ <li><a href="#uebersicht_logging">Konfiguration des Loggings</a></li>
+ <li><a href="#uebersicht_STORK">STORK Konfiguration</a></li>
</ol>
</li>
- <li><a href="#uebersicht_zentraledatei">Basiskonfiguration</a> </li>
<li><a href="#konfigurationsparameter">Konfiguration MOA-ID-Auth</a>
<ol>
- <li><a href="#konfigurationsparameter_allgemein">Allgemeine Konfiguration</a></li>
- <li><a href="#config_service_provider">Online-Applikationen</a></li>
+ <li><a href="#konfigurationsparameter_allgemein">Allgemeine Konfiguration</a>
+ <ol>
+ <li><a href="#konfigurationsparameter_allgemein_publicurlprefix">Public URL Prefix</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_bku">Default BKUs</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_sl-templates">Securtiy-Layer Request Templates</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_certvalidation">Zertifikatspr&uuml;fung</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_timeouts">Session TimeOuts</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_moasp">MOA-SP</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_services">Externe Services</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_sso">Single-Sign On(SSO)</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_stork">Secure idenTity acrOss boRders linKed (STORK)</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_protocol">Protokolle</a>
+<ol>
+ <li><a href="#konfigurationsparameter_allgemein_protocol_allowed">Protkolle aktivieren</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_protocol_legacy">Legacy Modus</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_protocol_saml1">SAML1 Konfiguration</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_protocol_pvp21">PVP2.1 Konfiguration </a></li>
+ </ol>
+ </li>
+ <li><a href="#konfigurationsparameter_allgemein_sltransform">Security-Layer Transformationen</a></li>
+ </ol>
+ </li>
+ <li><a href="#konfigurationsparameter_oa">Online-Applikationen</a>
+ <ol>
+ <li><a href="#konfigurationsparameter_oa_general">Informationen zur Online-Applikation (Service Provider)</a>
+<ol>
+ <li><a href="#konfigurationsparameter_oa_general_public">&Ouml;ffentlicher Bereich</a></li>
+ <li><a href="#konfigurationsparameter_oa_general_business">Privatwirtschaftlicher Bereich</a></li>
+ </ol>
+ </li>
+ <li><a href="#konfigurationsparameter_oa_bku">BKU Konfiguration</a></li>
+ <li><a href="#konfigurationsparameter_oa_mandates">Vollmachten</a></li>
+ <li><a href="#konfigurationsparameter_oa_sso">Single Sign-On (SSO)</a></li>
+ <li><a href="#konfigurationsparameter_oa_stork">Secure idenTity acrOss boRders linKed (STORK)</a></li>
+ <li><a href="#konfigurationsparameter_oa_protocol">Authentifizierungsprotokolle</a>
+<ol>
+ <li><a href="#konfigurationsparameter_oa_protocol_saml1">SAML 1</a></li>
+ <li><a href="#konfigurationsparameter_oa_protocol_pvp21">PVP 2.1</a></li>
+ <li><a href="#konfigurationsparameter_oa_protocol_openIDConnect">OpenID Connect</a></li>
+ </ol>
+ </li>
+ <li><a href="#konfigurationsparameter_oa_additional">Zus&auml;tzliche allgemeine Einstellungen</a>
+<ol>
+ <li><a href="#konfigurationsparameter_oa_additional_formular">Login-Fenster Konfiguration</a></li>
+ </ol>
+ </li>
+ </ol>
+ </li>
+ <li><a href="#import_export">Import / Export</a>
+<ol>
+ <li><a href="#import_export_legacy">Import alter Konfigurationen (&lt;= MOA-ID 1.5.1)</a></li>
+ </ol>
+ </li>
+ </ol>
+ </li>
+ <li><a href="#import_template_">Templates</a>
+<ol>
+ <li><a href="#import_template_bku">B&uuml;rgerkartenauswahl</a></li>
+ <li><a href="#import_template_sso">Single Sign-On Anmeldeabfrage</a></li>
+ <li><a href="#import_template_sltemplate">Security-Layer Request</a></li>
</ol>
</li>
- <li><a href="#usermanagement">Benutzerverwaltung</a></li>
+ <li><a href="#sp-config">Konfiguration von MOA-SP</a></li>
+ <li><a href="#security">Tomcat Security Manager</a></li>
</ol>
+<ol type="A">
+ <li><a href="#referenzierte_spezifikation">Referenzierte Spezifikation</a></li>
+</ol>
<hr/>
<h1><a name="uebersicht" id="uebersicht"></a>1 &Uuml;bersicht </h1>
- <p>Dieses Handbuch beschreibt detailliert die Konfigurationsm&ouml;glichkeiten f&uuml;r die Module MOA-ID-Auth und MOA-ID-Configuration. Wobei das zentrale Einsatzgebiet des Modules MOA-ID-Configuration die Konfiguration des Modules MOA-ID-Auth darstellt.</p>
- <p>Die Konfiguration der beiden Module MOA-ID-Auth und MOA-ID-Configuration kann in zwei Teilbereiche unterteilt werden. Der erste Abschnitt behandelt die Basiskonfiguration der beiden Module, welche in textueller Form mit Hilfe von propertie Konfigurationsdateier erfolgt. Der zweite Abschnitt behandelt die Konfiguration des Modules MOA-ID-Auth unter zuhilfenahme des Modules MOA-ID-Configuration.</p>
- <h2>1.1 Empfohlener Konfigurationsablauf</h2>
+<p>Dieses Handbuch beschreibt detailliert die Konfigurationsm&ouml;glichkeiten f&uuml;r die Module MOA-ID-Auth und MOA-ID-Configuration. Wobei das zentrale Einsatzgebiet des Modules MOA-ID-Configuration die Konfiguration des Modules MOA-ID-Auth darstellt.</p>
+<p>Die Konfiguration der beiden Module MOA-ID-Auth und MOA-ID-Configuration kann in zwei Teilbereiche unterteilt werden. Der erste Abschnitt behandelt die Basiskonfiguration der beiden Module, welche in textueller Form mit Hilfe von propertie Konfigurationsdateien erfolgt. Der zweite Abschnitt behandelt die Konfiguration des Modules MOA-ID-Auth unter Zuhilfenahme des Modules MOA-ID-Configuration.</p>
+ <h2><a name="uebersicht_ablauf" id="uebersicht2"></a>1.1 Empfohlener Konfigurationsablauf</h2>
<ol>
<li><a href="#moa_id_config_parameters">Basiskonfiguration des Modules MOA-ID-Configuration</a></li>
- <li><a href="#moa_id_config_init">Initalisierung des Modules MOA-ID-Configuration</a></li>
+ <li><a href="#moa_id_config_init">Initialisierung des Modules MOA-ID-Configuration</a></li>
<li><a href="#basisconfig_moa_id_auth_param">Basiskonfiguration des Modules MOA-ID-Auth</a></li>
- <li>Allgemeine Konfiguration des Modules MOA-ID-Auth</li>
- <li>Konfiguration von Online-Applikationen</li>
- </ol>
+ <li><a href="#konfigurationsparameter_allgemein">Allgemeine Konfiguration des Modules MOA-ID-Auth</a></li>
+ <li><a href="#konfigurationsparameter_oa">Konfiguration von Online-Applikationen</a></li>
+</ol>
+ <p>Optional kann nach dem Schritt 3 Basiskonfiguration des Modules MOA-ID-Auth eine <a href="#import_export_legacy">bestehende MOA-ID 1.5.1 Konfiguration importiert</a> werden. F&uuml;r bestehende Konfigurationen &lt; 1.5.1 wird eine vollst&auml;ndige Neukonfiguration empfohlen.</p>
<h1><a name="uebersicht_zentraledatei" id="uebersicht_zentraledatei"></a>2 Basiskonfiguration</h1>
-<p>Die Basiskonfiguration f&uuml;r die Module MOA-ID-Auth und MOA-ID-Configuration erfolgt mit Hilfe einer textuellen propertie Datei. Diese Propertie Dateien beinhalten alle Konfigurationsparameter welche f&uuml;r den Start der Module erforderlich sind und m&uuml;ssen der Java Virtual Machine durch eine System Property mitgeteilt werden. Alle &Auml;nderungen die an der Basiskonfiguration vorgenommen werden erfordern einen Neustart der jeweiligen Java Virtual Machine. </p>
- <h2><a name="uebersicht_zentraledatei_aktualisierung" id="uebersicht_zentraledatei_aktualisierung"></a>2.1 MOA-ID-Configuration</h2>
- <p>Dieser Abschnitt behandelt die Basiskonfiguration des Modules MOA-ID-Configuration. Der erste Teilabschnitt behandelt die Bekanntmachung der Konfigurationsdatei mittels einer System Property und der zweite Teilbschnitt beschreibt die einzelnen Konfigurationsparameter im Detail. Eine Konfiguration die als Ausgangspunkt f&uuml;r die indivituelle Konfiguration verwendet werden kann finden Sie <a href="../../conf/moa-id-configuration/moa-id-configtool.properties">hier</a>.</p>
+<p>Die Basiskonfiguration f&uuml;r die Module MOA-ID-Auth und MOA-ID-Configuration erfolgt mit Hilfe textueller propertie Dateien. Diese Propertie Dateien beinhalten alle Konfigurationsparameter welche f&uuml;r den Start der Module erforderlich sind und m&uuml;ssen der Java Virtual Machine durch eine System Property mitgeteilt werden. Alle &Auml;nderungen die an der Basiskonfiguration vorgenommen werden erfordern einen Neustart der jeweiligen Java Virtual Machine. </p>
+<h2><a name="uebersicht_zentraledatei_aktualisierung" id="uebersicht_zentraledatei_aktualisierung"></a>2.1 MOA-ID-Configuration</h2>
+ <p>Dieser Abschnitt behandelt die Basiskonfiguration des Modules MOA-ID-Configuration. Der erste Teilabschnitt behandelt die Bekanntmachung der Konfigurationsdatei mittels einer System Property und der zweite Teilabschnitt beschreibt die einzelnen Konfigurationsparameter im Detail. Eine Konfiguration die als Ausgangspunkt f&uuml;r die individuelle Konfiguration verwendet werden kann finden Sie <a href="../../conf/moa-id-configuration/moa-id-configtool.properties">hier</a>.</p>
<h3><a name="moa_id_config_property" id="uebersicht_zentraledatei_aktualisierung7"></a>2.1.1 Bekanntmachung der Konfigurationsdatei</h3>
<p>Die zentrale Konfigurationsdatei von MOA-ID-Configuration wird der <span class="term">Java Virtual Machine</span>, in der MOA-ID-Configuration l&auml;uft, durch eine <span class="term">System Property </span> mitgeteilt (wird beim Starten der <span class="term">Java Virtual Machine</span> in der Form <code>-D&lt;name&gt;=&lt;wert&gt;</code> gemacht). Der Name der <span class="term">System Property</span> lautet <code>moa.id.webconfig</code> als Wert der <span class="term">System Property</span> ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.</p>
<pre>moa.id.webconfig=C:/Programme/apache/tomcat-4.1.30/conf/moa-id-configuration/moa-id-configuration.properties</pre>
@@ -57,7 +176,7 @@
<h3><a name="moa_id_config_parameters" id="uebersicht_zentraledatei_aktualisierung8"></a>2.1.2 Konfigurationsparameter</h3>
<p>Aus gr&uuml;nden der &Uuml;bersichtlichkeit werden die einzelnen Konfigurationsparameter in logisch zusammenh&auml;ngende Bl&ouml;cke unterteilt. Die Konfiguration der Bl&ouml;cke <a href="#moa_id_config_parameters_generel">Allgemeine Konfigurationsparameter</a> und <a href="#moa_id_config_parameters_database">Datenbankzugriff</a> sind nicht optional und m&uuml;ssen f&uuml;r den Betrieb angepasst werden. </p>
<h4><a name="moa_id_config_parameters_generel" id="uebersicht_zentraledatei_aktualisierung9"></a>2.1.2.1 Allgemeine Konfigurationsparameter</h4>
-<p>Die folgenden Konfigurationsparameter sind nicht optional und m&uuml;ssen in der Konfigurationsdatei enthalten sein und indivituell angepasst werden.</p>
+<p>Die folgenden Konfigurationsparameter sind nicht optional und m&uuml;ssen in der Konfigurationsdatei enthalten sein und individuell angepasst werden.</p>
<table width="1247" border="1">
<tr>
<th width="176" scope="col">Name</th>
@@ -67,7 +186,7 @@
<tr>
<td>general.login.deaktivate</td>
<td>true / false</td>
- <td>Hiermit kann die Authentifizerung am Konfigurationstool deaktiviert werden. Diese Funktion ist f&uuml;r die <a href="#moa_id_config_init">Initalisierung</a> des Modules erforderlich.</td>
+ <td>Hiermit kann die Authentifizierung am Konfigurationstool deaktiviert werden. Diese Funktion ist f&uuml;r die <a href="#moa_id_config_init">Initialisierung</a> des Modules erforderlich.</td>
</tr>
<tr>
<td>general.publicURLContext</td>
@@ -102,7 +221,7 @@
</table>
</h4>
<h4><a name="moa_id_config_parameters_database" id="uebersicht_zentraledatei_aktualisierung10"></a>2.1.2.3 Datenbankzugriff</h4>
-<p>Diese Konfigurationsparameter sind nicht optional und m&uuml;ssen in der Konfigurationsdatei enthalten sein und indivituell angepasst werden. F&uuml;r Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Configuration kann jedoch auch mit Datenbanken anderer Hersteller betrieben werden. Hierf&uuml;r wird jedoch auf die <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> verwiesen, welches im Module MOA-ID-Configuration f&uuml;r den Datenbankzugriff verwendet wird. </p>
+<p>Diese Konfigurationsparameter sind nicht optional und m&uuml;ssen in der Konfigurationsdatei enthalten sein und individuell angepasst werden. F&uuml;r die Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Configuration kann jedoch auch mit Datenbanken anderer Hersteller betrieben werden. Hierf&uuml;r wird jedoch auf die <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> verwiesen, welches im Module MOA-ID-Configuration f&uuml;r den Datenbankzugriff verwendet wird. </p>
<table width="1247" border="1">
<tr>
<th width="209" scope="col">Name</th>
@@ -138,7 +257,7 @@
<p>&nbsp;</p>
<p>Die Beispielkonfiguration beinhaltet noch zus&auml;tzliche Konfigurationsparameter f&uuml;r den Datenbankzugriff welche direkt aus der Beispielkonfiguration &uuml;bernommen werden k&ouml;nnen. Eine detailierte Beschreibung der einzelnen Einstellungsparameter kann der <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> entnommen werden.</p>
<h4><a name="moa_id_config_parameters_pvp2" id="uebersicht_zentraledatei_aktualisierung11"></a>2.1.2.4 B&uuml;rgerkarten LogIn</h4>
-<p>Zus&auml;tzlich zur Authentifzierung mittels Benutzername und Passwort unterst&uuml;tzt das Modul MOA-ID-Configuration auch eine Authentifizierung mittels B&uuml;rgerkarte oder Handy-Signatur unter Verwendung des <a href="./protocol/protocol.html">Authentifizierungsprotokolls PVP2.1</a>. Wenn eine Authentifizerung mittels B&uuml;rgerkarte oder Handy-Signature gew&uuml;nscht wird m&uuml;ssen die nachfolgen Konfigurationsparameter gesetzt werden.</p>
+<p>Zus&auml;tzlich zur Authentifizierung mittels Benutzername und Passwort unterst&uuml;tzt das Modul MOA-ID-Configuration auch eine Authentifizierung mittels B&uuml;rgerkarte oder Handy-Signatur unter Verwendung des <a href="./protocol/protocol.html">Authentifizierungsprotokolls PVP2.1</a>. Wenn eine Authentifizierung mittels B&uuml;rgerkarte oder Handy-Signatur gew&uuml;nscht wird m&uuml;ssen die nachfolgen Parameter konfiguriert werden.</p>
<table width="1247" border="1">
<tr>
<th width="395" scope="col">Name</th>
@@ -159,7 +278,7 @@
<tr>
<td>general.login.pvp2.idp.metadata.certificate</td>
<td>keys/metadata.crt</td>
- <td>Zertifikat mit dem die PVP2.1 Metdaten des IDP signiert sind. Dieser Zertifikat wird zur Pr&uuml;fung der IDP Metadaten verwendet.</td>
+ <td>Zertifikat mit dem die PVP2.1 Metadaten des IDP signiert sind. Dieser Zertifikat wird zur Pr&uuml;fung der IDP Metadaten verwendet.</td>
</tr>
<tr>
<td>general.login.pvp2.idp.metadata.entityID</td>
@@ -170,7 +289,7 @@
<td>general.login.pvp2.idp.sso.logout.url</td>
<td>https://demo.egiz.gv.at/moa-id-auth/LogOut?redirect=<br>
https://demo.egiz.gv.at/moa-id-configuration</td>
- <td>URL zum Single Log-Out (SLO) Service des IDP. Details zum SLO Service von MOA-ID-Auth finden Sie <a href="./protocol/protocol.html">hier</a>.</td>
+ <td>URL zum Single Log-Out (SLO) Service des IDP. Details zum SLO Service von MOA-ID-Auth finden Sie <a href="./protocol/protocol.html#allgemeines_ssologout">hier</a>.</td>
</tr>
<tr>
<td>general.login.pvp2.metadata.entities.name</td>
@@ -250,7 +369,7 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-configuration/servlet/metadata</pre>
<tr>
<td>general.mail.host.port</td>
<td>&nbsp;</td>
- <td>Port an dem der SMTP Service erreichbar ist. Sollte kein Port angegebn werden wird automatisch das Port 25 verwendet.</td>
+ <td>Port an dem der SMTP Service erreichbar ist. Sollte kein Port angegeben werden wird automatisch das Port 25 verwendet.</td>
</tr>
<tr>
<td>general.mail.host.username</td>
@@ -324,14 +443,15 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-configuration/servlet/metadata</pre>
</tr>
</table>
<p>&nbsp;</p>
-<h3><a name="moa_id_config_init" id="uebersicht_zentraledatei_aktualisierung13"></a>2.1.3 Initalisierung des Modules MOA-ID-Configuration</h3>
+<h3><a name="moa_id_config_init" id="uebersicht_zentraledatei_aktualisierung13"></a>2.1.3 Initialisierung des Modules MOA-ID-Configuration</h3>
<p>F&uuml;r den ersten Start muss die Authentifizierung deaktiviert werden (siehe <em>general.login.deaktivate</em> <a href="#moa_id_config_parameters_generel">Abschnitt 2.2.2.1</a>). Anschlie&szlig;end kann die Benutzerverwaltung des Modules MOA-ID-Configuration unter der folgenden Adresse aufgerufen werden.</p>
<pre>http://&lt;host&gt;:&lt;port&gt;/moa-id-configuration/secure/usermanagementInit.action</pre>
<p>bzw. </p>
<pre>
https://&lt;host&gt;:&lt;port&gt;/moa-id-configuration/secure/usermanagementInit.action</pre>
<p>Mit Hilfe dieser Benutzerverwaltung kann ein neuer Benutzeraccount am Konfigurationstool angelegt und ein Kennwort f&uuml;r den Benutzer vergeben werden. Zus&auml;tzlich m&uuml;ssen dem neu erstellte Benutzer die Eigenschaften <em>aktiv</em> und <em>admin</em> zugewiesen werden. Nach dem speichern wird der neu angelegte Benutzer in der Liste aller vorhandenen Benutzern dargestellt.</p>
-<p>Hiermit ist die Initialisierung des Moduuls MOA-ID-Configuration abgeschlossen und die Authentifizerung kann wieder aktiviert werden (siehe <em>general.login.deaktivate</em> <a href="#moa_id_config_parameters_generel">Abschnitt 2.2.2.1</a>). Anschlie&szlig;end muss die Java Virtual Machine, in welchem das Modul MOA-ID-Configuration betrieben wird, neu gestartet werden.</p>
+<p>Hiermit ist die Initialisierung des Moduls MOA-ID-Configuration abgeschlossen und die Authentifizierung kann wieder aktiviert werden (siehe <em>general.login.deaktivate</em> <a href="#moa_id_config_parameters_generel">Abschnitt 2.2.2.1</a>). Anschlie&szlig;end muss die Java Virtual Machine, in welchem das Modul MOA-ID-Configuration betrieben wird, neu gestartet werden.</p>
+<p><b>Hinweis:</b> Ein Betrieb des Moduls MOA-ID-Configuration ohne Authentifizierung ist ebenfalls möglich. In diesem Fall wird jedoch empfohlen den Zugriff auf das Konfigurationstool mit anderen Mitteln einzuschränken.</b></p>
<h3><a name="moa_id_config_user" id="uebersicht_zentraledatei_aktualisierung14"></a>2.1.4 Benutzerverwaltung</h3>
<p>Das Modul MOA-ID-Configuration unterst&uuml;tzt die Ben&uuml;tzung und Verwaltung unterschiedlicher Benutzeraccounts. Hierf&uuml;r stellt die Web-Oberfl&auml;che des Modules MOA-ID-Configuration ein spezielles Interface zur Benutzerverwaltung zur Verf&uuml;gung. </p>
<h4><a name="moa_id_config_user_add" id="uebersicht_zentraledatei_aktualisierung15"></a>2.1.4.1 Einen neuen Benutzer erstellen</h4>
@@ -344,17 +464,17 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-configuration/secure/usermanagementInit
</tr>
<tr>
<td>Vorname</td>
- <td>Vorname des Benutzers. Wir bei Registierung mittels PVP 2.1 automatisch eingetragen</td>
+ <td>Vorname des Benutzers. Wir bei Registrierung mittels PVP 2.1 automatisch eingetragen</td>
<td align="center">nein</td>
</tr>
<tr>
<td>Familienname</td>
- <td>Familienname des Benutzers. Wir bei Registierung mittels PVP 2.1 automatisch eingetragen</td>
+ <td>Familienname des Benutzers. Wir bei Registrierung mittels PVP 2.1 automatisch eingetragen</td>
<td align="center">nein</td>
</tr>
<tr>
<td>Organisation</td>
- <td>Zugeordnete Organisation. Wir bei Registierung mittels PVP 2.1 automatisch aus der Vollmacht eingetragen</td>
+ <td>Zugeordnete Organisation. Wir bei Registrierung mittels PVP 2.1 automatisch aus der Vollmacht eingetragen</td>
<td align="center">nein</td>
</tr>
<tr>
@@ -384,7 +504,7 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-configuration/secure/usermanagementInit
</tr>
<tr>
<td>Benutzer ist aktiviert</td>
- <td>Aktiviert oder deaktiert den jeweiligen Benutzeraccount</td>
+ <td>Aktiviert oder deaktiviert den jeweiligen Benutzeraccount</td>
<td align="center">ja</td>
</tr>
<tr>
@@ -403,31 +523,40 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-configuration/secure/usermanagementInit
<ol>
<li><strong>Durch Administrator:</strong> Bei dieser Variante wird der neue Benutzeraccount durch einen Administrator &uuml;ber die Web-Oberfl&auml;che erstellt und aktiviert. In diesem Fall m&uuml;ssen alle geforderten Daten durch den Administrator eingetragen werden. Bei dieser Variante ist die Validierung der eMail Adresse nicht zwingend erforderlich, kann jedoch optional aktiviert werden.<br>
</li>
- <li><strong>Durch PVP 2.1 Login:</strong> Bei dieser Variante wird die Generierung eines neues Benutzeraccounts durch einen Loginversuch mittels B&uuml;rgerkarte oder Handy-Signatur ausgel&ouml;st. Nach erfolgreicher Authentifzierung wird die BenutzerIn /der Benutzer an Konfigurationstool weitergeleitet. Hierbei wird gepr&uuml;ft ob aktuell ein Benutzeraccount f&uuml;r diese Person existiert. Wenn kein Account existiert wird die BenutzerIn / der Benutzer aufgefordert die fehlenden Informationen f&uuml;r die Registrierung eines neuen Benutzeraccounts einzutragen. In diesem Fall muss die eMail Adresse durch die BenutzerIn / den Benutzer zwingend validiert werden wof&uuml;r der <a href="#moa_id_config_parameters_mail">Mailversand</a> am Module MOA-ID-Configuration konfiguriert sein muss. Nach erfolgreicher Validierung der eMail Adresse ist der Benutzeraccount als nicht aktiv registriert und muss anschlie&szlig;end durch einen Administrator aktiviert werden. Erst nach erfolgreicher Aktivierung ist eine g&uuml;ltige Anmeldung m&ouml;glich.<br>
- Sollte die Valdierung der eMail Adresse nicht innerhalb des in <a href="#moa_id_config_parameters_generel">Abschnitt 2.2.1.1</a> konfigurierten Zeitraums erfolgen, wird die Benutzeranforderung automatisch gel&ouml;scht und die BenutzerIn / der Benutzer muss sich erneut am Konfigurationstool registrieren.</li>
+ <li><strong>Durch PVP 2.1 Login:</strong> Bei dieser Variante wird die Generierung eines neues Benutzeraccounts durch einen Loginversuch mittels B&uuml;rgerkarte oder Handy-Signatur ausgel&ouml;st. Nach erfolgreicher Authentifizierung wird die BenutzerIn / der Benutzer an Konfigurationstool weitergeleitet. Hierbei wird gepr&uuml;ft ob aktuell ein Benutzeraccount f&uuml;r diese Person existiert. Wenn kein Account existiert wird die BenutzerIn / der Benutzer aufgefordert die fehlenden Informationen f&uuml;r die Registrierung eines neuen Benutzeraccounts einzutragen. In diesem Fall muss die eMail Adresse durch die BenutzerIn / den Benutzer zwingend validiert werden wof&uuml;r der <a href="#moa_id_config_parameters_mail">Mailversand</a> am Module MOA-ID-Configuration konfiguriert sein muss. Nach erfolgreicher Validierung der eMail Adresse ist der Benutzeraccount als nicht aktiv registriert und muss anschlie&szlig;end durch einen Administrator aktiviert werden. Erst nach erfolgreicher Aktivierung ist eine g&uuml;ltige Anmeldung m&ouml;glich.<br>
+ Sollte die Validierung der eMail Adresse nicht innerhalb des in <a href="#moa_id_config_parameters_generel">Abschnitt 2.2.1.1</a> konfigurierten Zeitraums erfolgen, wird die Benutzeranforderung automatisch gel&ouml;scht und die BenutzerIn / der Benutzer muss sich erneut am Konfigurationstool registrieren.</li>
</ol>
<h4><a name="moa_id_config_user_role" id="uebersicht_zentraledatei_aktualisierung16"></a>2.1.4.2 Benutzerrechte</h4>
-<p>Alle Benutzer die Admin&ndash;Rechte (Eigenschaft <em>admin</em>) besitzen haben vollen Zugriff auf die gesamte Konfiguration der verwalteten MOA-ID-Auth Instanz. Benutzer ohne Admin-Rechten stehen folgende Operationen nicht oder nur eingeschr&auml;nkt zur Verf&uuml;gung. </p>
+<p>Alle Benutzer die Admin&ndash;Rechte (Eigenschaft <em>admin</em>) besitzen haben vollen Zugriff auf die gesamte Konfiguration der verwalteten MOA-ID-Auth Instanz. Benutzer ohne Admin-Rechten stehen nur folgende Operationen zur Verfügung wobei diese auch besondere Einschränkungen aufweisen können.</p>
<ul>
<li><strong>Online-Applikationen bearbeiten:</strong> Ein Benutzer ohne Admin-Rechte kann nur jene Online-Applikationen bearbeiten die von ihm erstellt wurden. Das bearbeiten fremder Online-Applikationen ist nicht m&ouml;glich. Folgende Parameter k&ouml;nnen durch diesen Benutzer bearbeitet werden.
<ul>
- <li>TODO:</li>
+ <li><a href="#konfigurationsparameter_oa_general">Informationen zur Online-Applikation</a></li>
+ <li><a href="#konfigurationsparameter_oa_mandates">Vollmachten</a></li>
+ <li><a href="#konfigurationsparameter_oa_sso">Single Sign-On verwenden</a></li>
+ <li><a href="#konfigurationsparameter_oa_stork">STORK</a></li>
+ <li><a href="#konfigurationsparameter_oa_protocol">Protokolle</a>
+<ul>
+ <li><a href="#konfigurationsparameter_oa_protocol_pvp21">PVP 2.1</a></li>
+ <li><a href="#konfigurationsparameter_oa_protocol_openIDConnect">OpenID Connect</a></li>
+ </ul>
+ </li>
+ <li><a href="#konfigurationsparameter_oa_additional">bPK / wbPK im Authblock ausblenden</a></li>
</ul>
</li>
- <li><strong>Online Applikation anlegen:</strong> Ein Benutzer ohne Admin-Rechte kann neue Online-Applikationen anlegen. Die Funktionen &bdquo;Online-Applikation aktivieren&ldquo; (siehe Kapitel TODO: ) steht jedoch nicht zur Verf&uuml;gung. Somit muss die Online-Applikation von einem Benutzer mit Admin-Rechten aktiv geschalten werden. </li>
+ <li><strong>Online Applikation anlegen:</strong> Ein Benutzer ohne Admin-Rechte kann neue Online-Applikationen anlegen. Die Funktionen &bdquo;Online-Applikation aktivieren&ldquo; (siehe <a href="#konfigurationsparameter_oa">Kapitel 3.2</a>: ) steht jedoch nicht zur Verf&uuml;gung. Somit muss die Online-Applikation von einem Benutzer mit Admin-Rechten aktiv geschalten werden. </li>
<li><strong>Benutzerverwaltung:</strong> Ein Benutzer ohne Admin-Rechte kann keine neuen Benutzer erstellen. Dieser kann jedoch seinen Benutzeraccount bearbeiten und gegeben falls l&ouml;schen. Beim L&ouml;schen eines Benutzeraccounts werden Online-Applikationen die von diesem erstellt wurden jedoch nicht automatisch gel&ouml;scht. </li>
</ul>
-<p>&nbsp;</p>
<h2><a name="basisconfig_moa_id_auth" id="uebersicht_zentraledatei_aktualisierung2"></a>2.2 MOA-ID-Auth</h2>
- <p>Dieser Abschnitt behandelt die Basiskonfiguration des Modules MOA-ID-Auth. Der erste Teilabschnitt behandelt die Bekanntmachung der Konfigurationsdatei mittels einer System Property und der zweite Teilbschnitt beschreibt die einzelnen Konfigurationsparameter im Detail. Eine Konfiguration die als Ausgangspunkt f&uuml;r die indivituelle Konfiguration verwendet werden kann finden Sie <a href="../../conf/moa-id/moa-id.properties">hier</a>.</p>
+ <p>Dieser Abschnitt behandelt die Basiskonfiguration des Modules MOA-ID-Auth. Der erste Teilabschnitt behandelt die Bekanntmachung der Konfigurationsdatei mittels einer System Property und der zweite Teilabschnitt beschreibt die einzelnen Konfigurationsparameter im Detail. Eine Konfiguration die als Ausgangspunkt f&uuml;r die individuelle Konfiguration verwendet werden kann finden Sie <a href="../../conf/moa-id/moa-id.properties">hier</a>.</p>
<h3><a name="uebersicht_bekanntmachung" id="uebersicht_bekanntmachung"></a>2.2.1 Bekanntmachung der Konfigurationsdatei</h3>
<p>Die zentrale Konfigurationsdatei von MOA-ID-Configuration wird der <span class="term">Java Virtual Machine</span>, in der MOA-ID-Configuration l&auml;uft, durch eine <span class="term">System Property </span> mitgeteilt (wird beim Starten der <span class="term">Java Virtual Machine</span> in der Form <code>-D&lt;name&gt;=&lt;wert&gt;</code> gemacht). Der Name der <span class="term">System Property</span> lautet <code>moa.id.webconfig</code> als Wert der <span class="term">System Property</span> ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.</p>
<pre>moa.id.configuration=C:/Programme/apache/tomcat-4.1.30/conf/moa-id/moa-id.properties</pre>
<p>Weitere Informationen zum Bekanntmachen der zentralen Konfigurationsdatei f&uuml;r MOA-ID-Auth erhalten Sie in <a href="../install/install.html#webservice_basisinstallation_installation_spssdeploy">Abschnitt 2.1.2.3</a> des Installationshandbuchs.</p>
<h3><a name="basisconfig_moa_id_auth_param" id="uebersicht_bekanntmachung2"></a>2.2.2 Konfigurationsparameter</h3>
<p>Aus gr&uuml;nden der &Uuml;bersichtlichkeit werden die einzelnen Konfigurationsparameter in logisch zusammenh&auml;ngende Bl&ouml;cke unterteilt.</p>
- <h4><a name="basisconfig_moa_id_auth_param_general" id="uebersicht_bekanntmachung4"></a>2.2.2.1 Allgemeine Konfigurationsparameter</h4>
- <p>Die folgenden Konfigurationsparamter sind optional und m&uuml;ssen nicht zwingend angegeben werden. Im Falle eines produktiven Betriebs von MOA-ID-Auth wird jedoch die Angabe eines Schl&uuml;ssels zur verschl&uuml;sselten Speicherung der Sessiondaten in der Datenbank dringend empfohlen. </p>
+<h4><a name="basisconfig_moa_id_auth_param_general" id="uebersicht_bekanntmachung4"></a>2.2.2.1 Allgemeine Konfigurationsparameter</h4>
+ <p>Die folgenden Konfigurationsparameter sind optional und m&uuml;ssen nicht zwingend angegeben werden. Im Falle eines produktiven Betriebs von MOA-ID-Auth wird jedoch die Angabe eines Schl&uuml;ssels zur verschl&uuml;sselten Speicherung der Session Daten in der Datenbank dringend empfohlen. </p>
<table width="1247" border="1">
<tr>
<th width="272" scope="col">Name</th>
@@ -437,7 +566,7 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-configuration/secure/usermanagementInit
<tr>
<td>configuration.moasession.key</td>
<td>aX.J47s#bh7</td>
- <td>Passwort zum Verschl&uuml;sseln von personenbezogenen Sessiondaten die w&auml;hrend eines Anmeldevorgangs und f&uuml;r Single Sign-On in der Datenbank abgelegt werden. Hierbei kann jede beliebige Zeichenfolge aus Buchstaben, Zahlen und Sonderzeichen verwendet werden.</td>
+ <td>Passwort zum Verschl&uuml;sseln von personenbezogenen Session Daten die w&auml;hrend eines Anmeldevorgangs und f&uuml;r Single Sign-On in der Datenbank abgelegt werden. Hierbei kann jede beliebige Zeichenfolge aus Buchstaben, Zahlen und Sonderzeichen verwendet werden.</td>
</tr>
<tr>
<td>configuration.monitoring.active</td>
@@ -462,21 +591,21 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-configuration/secure/usermanagementInit
<tr>
<td>configuration.xml</td>
<td>&nbsp;</td>
- <td><p>Dieser Parameter ist optional . URL auf eine XML basierte Konfiguration f&uuml;r MOA-ID-Auth 2.0.</p>
+ <td><p>URL auf eine XML basierte Konfiguration f&uuml;r MOA-ID-Auth 2.0. Dieser Parameter ist optional. </p>
<strong>Achtung: </strong>Dieser Parameter sollte nur in Kombination mit einer InMemory Datenbank f&uuml;r die Konfiguration verwendet werden, da w&auml;hrend des Startvorgangs von MOA-ID-Auth eine eventuell vorhandene Konfiguration vollst&auml;ndig durch die Konfiguration aus der XML Datei ersetzt wird. N&auml;here Informationen zu einer XML basierten Konfigurationsdatei f&uuml;r MOA-ID-Auth finden Sie <a href="#import_export_actual">hier</a>.</td>
</tr>
</table>
<p>&nbsp;</p>
-<p>Wenn das interne Monitoring aktiviert wurde kann ein Testvorgang durch folgende Adresse gestartet werden.</p>
+<p>Wenn das interne Monitoring aktiviert wurde kann ein Testvorgang durch einen Aufruf der folgenden Adresse gestartet werden.</p>
<pre>http://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
<p>bzw. </p>
<pre>
https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
-<p>Nach einem erfolgreichen Testdurchlauf Antwortet das Moniting mit einen http Statuscode 200 und der oben definierten Statusmeldung aus dem Parameter <em>configuration.monitoring.message.success</em>. Im Falle eines Fehlers antwortet das Monitoring mit einem http Statuscode 500 und die Statusmeldung enth&auml;lt eine Beschreibung des aufgetretenen Fehlers.</p>
+<p>Nach einem erfolgreichen Testdurchlauf Antwortet das Monitoring mit einen http Statuscode 200 und der oben definierten Statusmeldung aus dem Parameter <em>configuration.monitoring.message.success</em>. Im Falle eines Fehlers antwortet das Monitoring mit einem http Statuscode 500 und die Statusmeldung enth&auml;lt eine Beschreibung des aufgetretenen Fehlers.</p>
<h4><a name="basisconfig_moa_id_auth_param_services" id="uebersicht_bekanntmachung5"></a>2.2.2.2 Externe Services</h4>
-<p>F&uuml;r den Aufbau von Verbindungen zu anderen Komponenten werden in manchen F&auml;llen spezielle Client-Zertifikate oder Sicherheitseinstellungen ben&ouml;tigt. In diesem Abschnitt erfolgt die Konfiguration der f&uuml;r den Verbindungsaufbau ben&ouml;tigten Parameter. Die Konfiguration der URL zum jeweiligen Service wird jedoch &uuml;ber die Web-Oberfl&auml;che des Modules MOA-ID-Configuration vorgenommen (siehe Kapitel TODO:).</p>
-<h5>2.2.2.2.1 MOA-SP</h5>
-<p>Wird MOA-SP &uuml;ber ein Web-Service, welches Client Authentifizierung voraussetzt, angesprochen m&uuml;ssen in diesem Abschnitt die erforerlichen Schl&uuml;ssel hinterlegt werden.</p>
+<p>F&uuml;r den Aufbau von Verbindungen zu anderen Komponenten werden in manchen F&auml;llen spezielle Client-Zertifikate oder Sicherheitseinstellungen ben&ouml;tigt. In diesem Abschnitt erfolgt die Konfiguration der f&uuml;r den Verbindungsaufbau ben&ouml;tigten Parameter. Die Konfiguration der URL zum jeweiligen Service wird jedoch &uuml;ber die Web-Oberfl&auml;che des Modules MOA-ID-Configuration vorgenommen (siehe <a href="#konfigurationsparameter_allgemein_services">Kapitel 3.1.7</a>).</p>
+<h5><a name="basisconfig_moa_id_auth_param_services_moasp" id="uebersicht_bekanntmachung6"></a>2.2.2.2.1 MOA-SP</h5>
+<p>Wird MOA-SP &uuml;ber ein Web-Service, welches Client Authentifizierung voraussetzt, angesprochen m&uuml;ssen in diesem Abschnitt die erforderlichen Schl&uuml;ssel hinterlegt werden.</p>
<table width="1247" border="1">
<tr>
<th width="272" scope="col">Name</th>
@@ -496,12 +625,12 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
<tr>
<td>service.moasp.acceptedServerCertificates</td>
<td>certs/moa-sp-server/</td>
- <td>Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad zu den im Element &lt;TrustedCACertificates&gt; TODO!! angegebenen Zertifikaten erstellt werden kann.</td>
+ <td>Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad zu den im Element &lt;TrustedCACertificates&gt; (siehe <a href="#konfigurationsparameter_allgemein_certvalidation">Kapitel 3.1.4</a>) angegebenen Zertifikaten erstellt werden kann.</td>
</tr>
</table>
<p>&nbsp;</p>
-<h5>2.2.2.2.2 Online-Vollmachen</h5>
-<p>MOA-ID-Auth bietet die M&ouml;glichkeit der Nutzung von Online-Vollmachten f&uuml;r Anwendungen aus dem &ouml;ffentlichen Bereich. Hierf&uuml;r ist ein Online-Vollmachten-Service n&ouml;tig, wobei die Zugangsdaten zum Online-Vollmachten-Service konfiguriert werden m&uuml;ssen. Der Zugang zum Online-Vollmachten-Service ein Client-Zertifikat f&uuml;r die SSL-Verbinung zum Service. Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID-Auth Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben. </p>
+<h5><a name="basisconfig_moa_id_auth_param_services_mandates" id="uebersicht_bekanntmachung7"></a>2.2.2.2.2 Online-Vollmachen</h5>
+<p>MOA-ID-Auth bietet die M&ouml;glichkeit der Nutzung von Online-Vollmachten f&uuml;r Anwendungen aus dem &ouml;ffentlichen Bereich. Hierf&uuml;r ist ein Online-Vollmachten-Service n&ouml;tig, wobei die Zugangsdaten zum Online-Vollmachten-Service konfiguriert werden m&uuml;ssen. Der Zugang zum Online-Vollmachten-Service ein Client-Zertifikat f&uuml;r die SSL-Verbindung zum Service. Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID-Auth Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben. </p>
<table width="1247" border="1">
<tr>
<th width="272" scope="col">Name</th>
@@ -521,12 +650,12 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
<tr>
<td>service.onlinemandates.acceptedServerCertificates</td>
<td>certs/ovs-server/</td>
- <td>Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad zu den im Element &lt;TrustedCACertificates&gt; TODO!! angegebenen Zertifikaten erstellt werden kann.</td>
+ <td>Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad zu den im Element &lt;TrustedCACertificates&gt; (siehe <a href="#konfigurationsparameter_allgemein_certvalidation">Kapitel 3.1.4</a>) angegebenen Zertifikaten erstellt werden kann.</td>
</tr>
</table>
<p>&nbsp;</p>
-<h5>2.2.2.2.3 Foreign Identities</h5>
-<p>MOA-ID-Auth bietet die M&ouml;glichkeit der Nutzung von ausl&auml;ndischen Karten oder die Anmeldung aul&auml;ndischer Personen mittels STORK. Hierf&uuml;r ist eine Verbindung zum Stammzahlenregister-Gateway n&ouml;tig, das einen entsprechenden Zugang zum Stammzahlenregister bereitstellt. F&uuml;r dieses Zugriff muss das Client-Zertifikat f&uuml;r die SSL-Verbinung zum Gateway angegeben werden. Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID-Auth Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben.</p>
+<h5><a name="basisconfig_moa_id_auth_param_services_foreign" id="uebersicht_bekanntmachung8"></a>2.2.2.2.3 Foreign Identities</h5>
+<p>MOA-ID-Auth bietet die M&ouml;glichkeit der Nutzung von ausl&auml;ndischen Karten oder die Anmeldung ausl&auml;ndischer Personen mittels STORK. Hierf&uuml;r ist eine Verbindung zum Stammzahlenregister-Gateway n&ouml;tig, das einen entsprechenden Zugang zum Stammzahlenregister bereitstellt. F&uuml;r diesen Zugriff muss das Client-Zertifikat f&uuml;r die SSL-Verbindung zum Gateway angegeben werden. Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID-Auth Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben.</p>
<table width="1247" border="1">
<tr>
<th width="272" scope="col">Name</th>
@@ -546,13 +675,13 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
<tr>
<td>service.foreignidentities.acceptedServerCertificates</td>
<td>certs/szrgw-server/</td>
- <td>Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad zu den im Element &lt;TrustedCACertificates&gt; TODO!! angegebenen Zertifikaten erstellt werden kann.</td>
+ <td>Hier kann ein Verzeichnisname (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad zu den im Element &lt;TrustedCACertificates&gt; (siehe <a href="#konfigurationsparameter_allgemein_certvalidation">Kapitel 3.1.4</a>) angegebenen Zertifikaten erstellt werden kann.</td>
</tr>
</table>
<p>&nbsp;</p>
-<h4>2.2.2.3 Protokolle</h4>
-<p>MOA-ID-Auth unterst&uuml;tzt mehrere Authentifizierungsprotokolle zwischen einer Online-Applikation und MOA-ID-Auth. Manche dieser Protokolle ben&ouml;tigen Schl&uuml;ssel zur Signierung von Authentifizierungsdaten. In diesem Abschnitt erfolgt die Konfiguration des zu verwendeten Schl&uuml;sselmaterials. </p>
-<h5>2.2.2.3.1 PVP 2.1</h5>
+<h4><a name="basisconfig_moa_id_auth_param_protocol" id="uebersicht_bekanntmachung9"></a>2.2.2.3 Protokolle</h4>
+<p>MOA-ID-Auth unterst&uuml;tzt mehrere Authentifizierungsprotokolle. Manche dieser Protokolle ben&ouml;tigen Schl&uuml;ssel zur Signierung von Authentifizierungsdaten oder Metadaten. In diesem Abschnitt erfolgt die Konfiguration des zu verwendeten Schl&uuml;sselmaterials. </p>
+<h5><a name="basisconfig_moa_id_auth_param_protocol_pvp21" id="uebersicht_bekanntmachung10"></a>2.2.2.3.1 PVP 2.1</h5>
<table width="1247" border="1">
<tr>
<th width="272" scope="col">Name</th>
@@ -591,7 +720,7 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
</tr>
</table>
<p>&nbsp;</p>
-<h5>2.2.2.3.2 OpenID Connect</h5>
+<h5><a name="basisconfig_moa_id_auth_param_protocol_openid" id="uebersicht_bekanntmachung11"></a>2.2.2.3.2 OpenID Connect</h5>
<table width="1247" border="1">
<tr>
<th width="272" scope="col">Name</th>
@@ -621,8 +750,8 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
</table>
<p>&nbsp;</p>
<h4><a name="basisconfig_moa_id_auth_param_database" id="uebersicht_bekanntmachung3"></a>2.2.2.4 Datenbank </h4>
- <p>Das Modul MOA-ID-Auth ben&ouml;tigt f&uuml;r den Betrieb zwei (optional drei) seperate Datenbank Schema, welche in der Basiskonfiguration konfiguriert werden. F&uuml;r Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Auth kann jedoch auch mit Datenbanken anderer Hersteller oder einer InMemory Datenbank betrieben werden. Hierf&uuml;r wird jedoch auf die <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> verwiesen. </p>
-<h5>2.2.2.4.1 Konfiguration</h5>
+<p>Das Modul MOA-ID-Auth ben&ouml;tigt f&uuml;r den Betrieb zwei (optional drei) separate Datenbank Schema, welche in der Basiskonfiguration konfiguriert werden. F&uuml;r Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Auth kann jedoch auch mit Datenbanken anderer Hersteller oder einer InMemory Datenbank betrieben werden. Hierf&uuml;r wird jedoch auf die <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> verwiesen. </p>
+<h5><a name="basisconfig_moa_id_auth_param_database_conf" id="uebersicht_bekanntmachung12"></a>2.2.2.4.1 Konfiguration</h5>
<p>Alle Parameter aus der Basiskonfiguration welche als Prefix <em>configuration.hibernate</em>. im Parameternamen aufweisen konfigurieren den Zugriff auf das Datenbank Schema welches die Konfiguration von MOA-ID-Auth beinhaltet. Eine Konfiguration dieser Parameter ist nicht optional.</p>
<table width="1247" border="1">
<tr>
@@ -657,7 +786,7 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
</tr>
</table>
<p>&nbsp;</p>
- <h5>2.2.2.4.2 Session Informationen</h5>
+ <h5><a name="basisconfig_moa_id_auth_param_database_session" id="uebersicht_bekanntmachung13"></a>2.2.2.4.2 Session Informationen</h5>
<p>Alle Parameter aus der Basiskonfiguration welche als Prefix <em>moasession.hibernate</em>. im Parameternamen aufweisen konfigurieren den Zugriff auf das Datenbank Schema in welchem MOA-ID-Auth die Session Informationen tempor&auml;r ablegt. Eine Konfiguration dieser Parameter ist nicht optional.</p>
<table width="1247" border="1">
<tr>
@@ -690,8 +819,8 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
<td>moaconfigpassword</td>
<td>Passwort f&uuml;r den Zugriff auf das Datenbank Schema</td>
</tr>
- </table>
-<h5>2.2.2.4.3 Statistikdaten</h5>
+</table>
+<h5><a name="basisconfig_moa_id_auth_param_database_info" id="uebersicht_bekanntmachung14"></a>2.2.2.4.3 Statistikdaten</h5>
<p>Alle Parameter aus der Basiskonfiguration welche als Prefix <em>advancedlogging.hibernate</em>. im Parameternamen aufweisen konfigurieren den Zugriff auf das Datenbank Schema welches die Konfiguration von MOA-ID-Auth beinhaltet. Eine Konfiguration dieser Parameter ist nur erforderlich wenn <em>configuration.advancedlogging.active</em> auf <em>true</em> gesetzt wird. (siehe <a href="#basisconfig_moa_id_auth_param_general">Kapitel 2.2.2.1</a>)</p>
<table width="1247" border="1">
<tr>
@@ -707,7 +836,7 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
<tr>
<td>advancedlogging.hibernate.connection.url</td>
<td>jdbc:mysql://localhost/moa-id-statistic?charSet=utf-8&amp;autoReconnect=true</td>
- <td>URL unter dem das Datenbank Schema f&uuml;r die Statisikfunktion von MOA-ID-Auth abgelegt werden soll. Die Verwendung der Parameter <em>charSet=utf-8</em> als Zeichencodierung und <em>autoReconnect=true</em> f&uuml;r automatischen Verbindungsaufbau wird empfohlen</td>
+ <td>URL unter dem das Datenbank Schema f&uuml;r die Statistikfunktion von MOA-ID-Auth abgelegt werden soll. Die Verwendung der Parameter <em>charSet=utf-8</em> als Zeichencodierung und <em>autoReconnect=true</em> f&uuml;r automatischen Verbindungsaufbau wird empfohlen</td>
</tr>
<tr>
<td><p>advancedlogging.hibernate.connection.driver_class</p></td>
@@ -726,7 +855,28 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/MonitoringServlet</pre>
</tr>
</table>
<p>&nbsp;</p>
- <p>Die Beispielkonfiguration beinhaltet noch zus&auml;tzliche Konfigurationsparameter f&uuml;r den Datenbankzugriff der einzelnen Schema welche direkt aus der Beispielkonfiguration &uuml;bernommen werden k&ouml;nnen. Eine detailierte Beschreibung der einzelnen Einstellungsparameter kann der <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> entnommen werden.</p>
+ <p>Die Beispielkonfiguration beinhaltet noch zus&auml;tzliche Konfigurationsparameter f&uuml;r den Datenbankzugriff der einzelnen Schema welche direkt aus der Beispielkonfiguration &uuml;bernommen werden k&ouml;nnen. Eine detaillierte Beschreibung der einzelnen Einstellungsparameter kann der <a href="http://docs.jboss.org/hibernate/core/4.2/manual/en-US/html/">Hibernate Dokumention</a> entnommen werden.</p>
+<h4><a name="basisconfig_moa_id_auth_param_testing" id="uebersicht_bekanntmachung15"></a>2.2.2.5 Testing</h4>
+ <p>Diese Parameter dienen auf Testsystemen zur Deaktivierung einzelner Verarbeitungs- oder Pr&uuml;fschritte. Standardm&auml;&szlig;ig ist jeweils die sichere Variante aktiviert.</p>
+ <table width="1247" border="1">
+ <tr>
+ <th width="281" scope="col">Name</th>
+ <th width="261" scope="col">Beispielwert</th>
+ <th width="683" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>configuration.validation.certificate.QC.ignore</td>
+ <td><p>true / false</p></td>
+ <td><p>Deaktiviert die QC Pr&uuml;fung von Signaturzertifikaten. Da manche Testzertifikate oder Testkarten keine QC Erweiterung aufweisen und somit eine Anmeldung mit diesen Zertifikaten nicht m&ouml;glich ist, kann die QC Pr&uuml;fung je Instanz deaktiviert werden.</p>
+ <p><strong>Defaultwert:</strong> false</p></td>
+ </tr>
+ <tr>
+ <td>protocols.pvp2.assertion.encryption.active</td>
+ <td>true / false</td>
+ <td><p>Mit diesem Parameter kann die Verschl&uuml;sselung der PVP2.1 Assertion f&uuml;r diese MOA-ID-Auth Instanz vollst&auml;ndig deaktiviert werden.</p>
+ <p><strong>Defaultwert:</strong> true</p></td>
+ </tr>
+ </table>
<p>&nbsp;</p>
<h2><a name="uebersicht_logging" id="uebersicht_logging"></a>2.3 Konfiguration des Loggings</h2>
<p>Die Module MOA-ID-Auth und MOA-ID-Configuration verwendet als Framework f&uuml;r Logging-Information die Open Source Software <code>log4j</code>. Die Konfiguration der Logging-Information erfolgt nicht direkt durch die einzelnen Module, sondern &uuml;ber eine eigene Konfigurationsdatei, die der <span class="term">Java Virtual Machine</span> durch eine <span class="term">System Property </span> mitgeteilt wird. Der Name der <span class="term">System Property </span> lautet <code>log4j.configuration</code>; als Wert der <span class="term">System Property </span> ist eine URL anzugeben, die auf die <code>log4j</code>-Konfigurationsdatei verweist, z.B. </p>
@@ -828,15 +978,29 @@ In der Hauptskonfiguration Datein (<span class="term">SamlEngine.xml</span>) ang
<p></p>
<h1><a name="konfigurationsparameter"></a>3 Konfiguration MOA-ID-Auth</h1>
<p>Dieses Abschnitt beschreibt die Konfiguration des Modules MOA-ID-Auth mithilfe der durch das Modul MOA-ID-Configuration zur Verf&uuml;gung gestellten Web-Oberfl&auml;che. Hierzu muss das Konfigurationstool (Module MOA-ID-Konfiguration) bereits installiert und konfiguriert sein (siehe <a href="#uebersicht_zentraledatei_aktualisierung">Kapitel 2.1</a>). Nach erfolgreichem Login am Konfigurationstool kann das Modul MOA-ID-Auth &uuml;ber die Web-Oberfl&auml;che konfiguriert werden.</p>
- <p>Die Konfiguration von MOA-ID-Auth ist in zwei Teilbereiche unterteilet. Diese behandeln die Allgemeine Konfiguration der MOA-ID-Auth Instanz und die Konfiguration von Online-Applikationen (Service Providern) die dieser MOA-ID-Auth Instanz zugeordnet sind.</p>
+ <p>Die Konfiguration von MOA-ID-Auth ist in zwei Teilbereiche unterteilet. Diese behandeln die Allgemeine Konfiguration der MOA-ID-Auth Instanz und die Konfiguration von Online-Applikationen (Service Providern) welche dieser MOA-ID-Auth Instanz zugeordnet sind.</p>
<h2><a name="konfigurationsparameter_allgemein" id="konfigurationsparameter_allgemein"></a>3.1
Allgemeine Konfiguration</h2>
-<p>Die Allgemeine Konfiguration des Modules MOA-ID-Auth umfasst alle nicht online-applikationsspezifischen Konfigurationsparameter. Die Konfiguration dieser Parameter erfolgt &uuml;ber eine Web-Oberfl&auml;che, welche Eingabefelder f&uuml;r jeden Konfigurationsparameter zur Verf&uuml;gung stellt. Jedes Eingabefeld wird validiert bevor der Konfigurationsparameter in der Datenbank gespeichert wird. Die Valdierung erfolgt auf Basis des zu erwartenden Eingabewerts, wobei der erlaubte Zeichensatz f&uuml;r freidefinierbare textuelle Eingabefelder eingeschr&auml;nkt sein kann. Detailinformationen zum erlaubten Zeichen finden Sie bei der jeweiligen Beschreibung des Konfigurationsparameters. </p>
+<p>Die Allgemeine Konfiguration des Modules MOA-ID-Auth umfasst alle nicht online-applikationsspezifischen Konfigurationsparameter. Die Konfiguration dieser Parameter erfolgt &uuml;ber eine Web-Oberfl&auml;che, welche Eingabefelder f&uuml;r jeden Konfigurationsparameter zur Verf&uuml;gung stellt. Jedes Eingabefeld wird validiert bevor der Konfigurationsparameter in der Datenbank gespeichert wird. Die Validierung erfolgt auf Basis des zu erwartenden Eingabewerts, wobei der erlaubte Zeichensatz f&uuml;r freidefinierbare textuelle Eingabefelder eingeschr&auml;nkt sein kann. Detailinformationen zum erlaubten Zeichen finden Sie bei der jeweiligen Beschreibung des Konfigurationsparameters. </p>
<p>Eine &Auml;nderung (Speicherung) an der allgemeinen Konfiguration wirkt sich nicht umgehend auf die zugeordnete MOA-ID-Auth Instanz aus, sondern erfolgt mit zeitlicher Verz&ouml;gerung. Die zeitliche Verz&ouml;gerung betr&auml;gt jedoch maximal eine Minute. Das die ge&auml;nderte MOA-ID-Auth Konfiguration in der zugeordneten Instanz geladen wurde ist durch folgende Log Meldungen erkennbar.</p>
<pre>INFO | 19 10:25:23,179 | ConfigurationLoader | check for new config.<br>INFO | 19 10:25:23,189 | ConfigurationLoader | Read MOA-ID 2.0 configuration from database.<br>INFO | 19 10:25:23,192 | ConfigurationLoader | MOA-ID 2.0 is loaded.</pre>
<p>Nachfolgend finden Sie die Detailbeschreibung aller allgemeinen Konfigurationsparameter.</p>
-<h3><a name="konfigurationsparameter_allgemein_bku" id="konfigurationsparameter_allgemein_bku"></a>3.1.1 Default BKUs</h3>
-<p>Hiermit werden die URLs zu den Defaul B&uuml;rgerkartenumgebungen (BKUs) definiert die von MOA-ID-Auth f&uuml;r einen Anmeldevorgang verwendet werden, wenn die B&uuml;rgerkartenauswahl nicht bereits auf Seiten der Online-Applikation erfolgt ist (siehe Protokolle: TODO) oder in der Online-Applikations Konfiguration keine BKU URLs konfiguriert wurden (siehe Kapitel TODO:).</p>
+<h3><a name="konfigurationsparameter_allgemein_publicurlprefix" id="konfigurationsparameter_allgemein_bku17"></a>3.1.1 Public URL Prefix</h3>
+<p>Dieser Parameter definiert den Public URL Prefix unter welchem die MOA-ID Instanz erreichbar ist. Die Konfiguration dieses Parameters ist verpflichtend.</p>
+<table width="1247" border="1">
+ <tr>
+ <th width="119" scope="col">Name</th>
+ <th width="263" scope="col">Beispielwerte</th>
+ <th width="843" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td><span id="wwlbl_loadGeneralConfig_moaconfig_ssoPublicUrl2">Public URL Prefix</span></td>
+ <td>https://demo.egiz.gv.at/moa-id-auth/</td>
+ <td>URL-Prefix der MOA-ID Instanz. Diese URL wird f&uuml;r die automatische Generierung von Formularen und Informationen verwendet und MUSS konfiguriert werden.</td>
+ </tr>
+</table>
+<h3><a name="konfigurationsparameter_allgemein_bku" id="konfigurationsparameter_allgemein_bku"></a>3.1.2 Default BKUs</h3>
+<p>Hiermit werden die URLs zu den Default B&uuml;rgerkartenumgebungen (BKUs) definiert die von MOA-ID-Auth f&uuml;r einen Anmeldevorgang verwendet werden, wenn die B&uuml;rgerkartenauswahl nicht bereits auf Seiten der Online-Applikation erfolgt ist (siehe <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Request</a>) oder in der Online-Applikationskonfiguration keine BKU URLs konfiguriert wurden (siehe <a href="#konfigurationsparameter_oa_bku">Kapitel 3.2.2</a>).</p>
<table width="1247" border="1">
<tr>
<th width="89" scope="col">Name</th>
@@ -859,8 +1023,8 @@ In der Hauptskonfiguration Datein (<span class="term">SamlEngine.xml</span>) ang
<td>URL auf die lokale BKU Instanz</td>
</tr>
</table>
-<h3><a name="konfigurationsparameter_allgemein_sl-templates" id="konfigurationsparameter_allgemein_bku2"></a>3.1.2 SecurtiyLayer Request Templates</h3>
-<p>SecurityLayer (SL) Templates dienen der Kommunikation mit der gew&auml;hlten B&uuml;rgerkartenumgebung. Die hier hinterlegen SL-Tempates werden f&uuml;r die Kommunikation mit der jeweiligen BKU verwendet. N&auml;here Details zum Aufbau dieser SL-Templates finden Sie im Kapitel Protokolle (TODO). </p>
+<h3><a name="konfigurationsparameter_allgemein_sl-templates" id="konfigurationsparameter_allgemein_bku2"></a>3.1.3 Securtiy-Layer Request Templates</h3>
+<p>Security-Layer (SL) Templates dienen der Kommunikation mit der gew&auml;hlten B&uuml;rgerkartenumgebung. Die hier hinterlegen SL-Templates werden f&uuml;r die Kommunikation mit der jeweiligen BKU verwendet. N&auml;here Details zum Aufbau dieser SL-Templates finden Sie im <a href="#import_template_sltemplate">Kapitel 4.3</a>. </p>
<p>Die Lage der Templates wird in Form einer URL beschrieben, wobei sowohl lokale Referenzen als der Bezug &uuml;ber https m&ouml;glich sind. Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die MOA-ID-Auth Basiskonfigurationsdatei befindet, interpretiert. Bei Templates die &uuml;ber das Protokoll https referenziert werden, muss vor dem Start des Tomcat ein Truststore angegeben werden, das die notwendigen vertrauensw&uuml;rdigen Zertifikate enth&auml;lt.</p>
<table width="1247" border="1">
<tr>
@@ -884,7 +1048,7 @@ In der Hauptskonfiguration Datein (<span class="term">SamlEngine.xml</span>) ang
<td>SL Template zur Kommunikation mit einer lokalen BKU Instanz</td>
</tr>
</table>
-<h3><a name="konfigurationsparameter_allgemein_certvalidation" id="konfigurationsparameter_allgemein_bku3"></a>3.1.3 Zertifikatspr&uuml;fung</h3>
+<h3><a name="konfigurationsparameter_allgemein_certvalidation" id="konfigurationsparameter_allgemein_bku3"></a>3.1.4 Zertifikatspr&uuml;fung</h3>
<p>Dieser Bereich behandelt die allgemeine Einstellungen zur Zertifikatspr&uuml;fung und die Konfiguration von vertrauensw&uuml;rdigen Zertifikaten.</p>
<table width="1247" border="1">
<tr>
@@ -914,7 +1078,7 @@ Checking</td>
<td>ChainingMode definiert, ob bei der Zertifikatspfad-&uuml;berpr&uuml;fung das Kettenmodell (&quot;chaining&quot;) oder das Modell nach PKIX RFC 3280 (&quot;pkix&quot;) verwendet werden soll. </td>
</tr>
</table>
-<h3><a name="konfigurationsparameter_allgemein_timeouts" id="konfigurationsparameter_allgemein_bku4"></a>3.1.4 Session TimeOuts</h3>
+<h3><a name="konfigurationsparameter_allgemein_timeouts" id="konfigurationsparameter_allgemein_bku4"></a>3.1.5 Session TimeOuts</h3>
<table width="1247" border="1">
<tr>
<th width="174" scope="col">Name</th>
@@ -922,24 +1086,29 @@ Checking</td>
<th width="921" scope="col">Beschreibung</th>
</tr>
<tr>
- <td>Assertion</td>
+ <td>Anmeldedaten</td>
<td>300</td>
- <td>Gibt die Zeitspanne in Sekunden an, f&uuml;r die die Anmeldedaten in der Authentisierungskomponente (MOA-ID-Auth) zum Abholen durch die eine nachfolgende Applikation bereitstehen. Nach Ablauf dieser Zeitspanne werden die Anmeldedaten gel&ouml;scht.</td>
+ <td><p>Gibt die Zeitspanne in Sekunden an, f&uuml;r die Anmeldedaten, tempor&auml;re Sessiondaten oder Assertions in der Authentisierungskomponente (MOA-ID-Auth) vorr&auml;tig gehalten werden. Nach Ablauf dieser Zeitspanne werden diese Daten gel&ouml;scht oder der Anmeldevorgang abgebrochen. Dieser Parameter hat Einfluss auf folgende Funktionen:</p>
+ <ul>
+ <li>maximale Zeitspanne eines Anmeldevorgangs vom Authentification Request bis zur Authentification Response gerechnet.</li>
+ <li>maximale Zeitspanne welche einer Online-Applikation zum Abholen der Anmeldedaten zur Verf&uuml;gung steht. (SAML mit Artifact Binding und OpenID Connect)</li>
+ <li>maximale Zeitspanne zum Abholen zus&auml;tzlicher STORK2 Attribute (Zeitdauer je Attribut)</li>
+ </ul> </td>
</tr>
<tr>
<td>SSO Session authentifiziert</td>
<td>2700</td>
- <td>Gibt die maximale Zeitspanne in Sekunden an, die eine Single Sign-On (SSO) Session vom Zeitpunkt der Authentifizierung ingesamt g&uuml;ltig ist. Nach Ablauf dieser Zeitspanne muss sich die BenutzerIn / der Benutzer bei einer erneuten Anmeldung neu authentifizieren.</td>
+ <td>Gibt die maximale Zeitspanne in Sekunden an, die eine Single Sign-On (SSO) Session vom Zeitpunkt der Authentifizierung ingesamt g&uuml;ltig ist. Nach Ablauf dieser Zeitspanne muss sich die BenutzerIn oder der Benutzer bei einer erneuten Anmeldung neu authentifizieren.</td>
</tr>
<tr>
<td><p>SSO Session letzter Zugriff</p></td>
<td>1200</td>
- <td>Gibt die Zeitspanne in Sekunden an, die eine Single Sign-On (SSO) Session seit dem letzten Zugriff (Anmeldevorgang) ausgehend g&uuml;ltig ist. Nach Ablauf dieser Zeitspanne muss sich die BenutzerIn / der Benutzer bei einer erneuten Anmeldung neu authentifizieren.</td>
+ <td>Gibt die Zeitspanne in Sekunden an, die eine Single Sign-On (SSO) Session seit dem letzten Zugriff (Anmeldevorgang) ausgehend g&uuml;ltig ist. Nach Ablauf dieser Zeitspanne muss sich die BenutzerIn oder der Benutzer bei einer erneuten Anmeldung neu authentifizieren.</td>
</tr>
</table>
-<h3><a name="konfigurationsparameter_allgemein_moasp" id="konfigurationsparameter_allgemein_bku5"></a>3.1.5 MOA-SP</h3>
-<p>Der Abschnitt MOA-SP Konfiguration enth&auml;lt Parameter zur Nutzung von MOA-SP. MOA-SP wird f&uuml;r die &uuml;berpr&uuml;fung der Signatur der Personenbindung und des AUTH-Blocks verwendet.</p>
-<p>MOA-SP muss entsprechend konfiguriert werden - siehe hierzu Abschnitt <a href="http://joinup.ec.europa.eu/site/moa-idspss/moa-id-1.5.1/doc/moa_id/id-admin_2.htm#sp-config">Konfiguration von MOA-SP</a> TODO!. Alle Details zur Konfiguration von MOA-SP finden sie in der Distribution von MOA-SP/SS beiligenden Dokumentation im Abschnitt 'Konfiguration'. </p>
+<h3><a name="konfigurationsparameter_allgemein_moasp" id="konfigurationsparameter_allgemein_bku5"></a>3.1.6 MOA-SP</h3>
+<p>Der Abschnitt MOA-SP Konfiguration enth&auml;lt Parameter zur Nutzung von MOA-SP. MOA-SP wird f&uuml;r die &Uuml;berpr&uuml;fung der Signatur der Personenbindung und des AUTH-Blocks verwendet.</p>
+<p>MOA-SP muss entsprechend konfiguriert werden - siehe hierzu Abschnitt <a href="#sp-config"> Konfiguration von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP finden sie in der Distribution von MOA-SP/SS beiliegenden Dokumentation im Abschnitt 'Konfiguration'. </p>
<table width="1247" border="1">
<tr>
<th width="164" scope="col">Name</th>
@@ -965,16 +1134,16 @@ Checking</td>
<td>MOA-SP Service URL</td>
<td>&nbsp;</td>
<td>URL auf das zu nutzende MOA-SP Service.<br>
- <strong>Hinweis:</strong> Wird kein <em>MOA-SP Service URL</em> angegeben so wird eine MOA-ID beiligende Version von MOA-SP direkt &uuml;ber das Java-API angesprochen. In diesem Fall muss das System-Property auf die verwendete Konfigurationsdatei von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei ist in <em>$MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml </em>enthalten. </td>
+ <strong>Hinweis:</strong> Wird kein <em>MOA-SP Service URL</em> angegeben so wird eine MOA-ID beiliegende Version von MOA-SP direkt &uuml;ber das Java-API angesprochen. In diesem Fall muss das System-Property auf die verwendete Konfigurationsdatei von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei ist in <em>$MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml </em>enthalten. </td>
</tr>
</table>
-<h3><a name="konfigurationsparameter_allgemein_services" id="konfigurationsparameter_allgemein_bku6"></a>3.1.6 Externe Services</h3>
+<h3><a name="konfigurationsparameter_allgemein_services" id="konfigurationsparameter_allgemein_bku6"></a>3.1.7 Externe Services</h3>
<p>Hiermit werden die URLs zum Online-Vollmachten Service und zum SZR-Gateway konfiguriert. Die Konfiguration der f&uuml;r den Zugriff ben&ouml;tigen Client-Zertifikate wurden bereits im Abschnitt <a href="#basisconfig_moa_id_auth_param_services">2.2.2.2</a> behandelt.</p>
<table width="1247" border="1">
<tr>
- <th width="140" scope="col">Name</th>
- <th width="231" scope="col">Beispielwert</th>
- <th width="854" scope="col">Beschreibung</th>
+ <th width="147" scope="col">Name</th>
+ <th width="360" scope="col">Beispielwert</th>
+ <th width="718" scope="col">Beschreibung</th>
</tr>
<tr>
<td><span id="wwlbl_loadGeneralConfig_moaconfig_mandateURL">Online-Vollmachten Service</span></td>
@@ -982,14 +1151,14 @@ Checking</td>
<td>URL zum Online-Vollmachten Service</td>
</tr>
<tr>
- <td><span id="wwlbl_loadGeneralConfig_moaconfig_szrgwURL">SZR Gateway Service</span></td>
- <td>https://szrgw.egiz.gv.at:8443/services/<br>
- IdentityLinkCreation</td>
- <td>URL zum Stammzahlen-Register Gateway</td>
+ <td><span id="wwlbl_loadGeneralConfig_moaconfig_szrgwURL">SZR-Gateway Service</span></td>
+ <td>https://szrgw.egiz.gv.at:8443/szr-gateway_2.0/services/IdentityLinkCreation</td>
+ <td><p>URL zum Stammzahlen-Register Gateway</p>
+ <p><strong>Hinweis:</strong> Der SZR-Gateway Service welcher in der MOA-ID 1.5.1 Konfiguration verwendet wurde ist nicht mehr kompatibel zu MOA-ID 2.0. Das aktualsierte Test SZR-Gateway Service f&uuml;r MOA-ID 2.x steht unter folgender URL zur Verf&uuml;gung. <em>https://szrgw.egiz.gv.at:8443/szr-gateway_2.0/services/IdentityLinkCreation</em></p></td>
</tr>
</table>
-<h3><a name="konfigurationsparameter_allgemein_sso" id="konfigurationsparameter_allgemein_bku7"></a>3.1.7 Single-Sign On(SSO)</h3>
-<p>In der SSO Konfiguration muss angegen werden in welchem Bereich (&ouml;ffentlicher oder privatwirschtlicher Bereich) die MOA-ID-Auth Instanz betrieben wird. Je nach dem zu welchem Bereich die Instanz zugeordnet ist ergibt sich ein unterschiedlicher Funktionsumfang der SSO Funktionalit&auml;t.</p>
+<h3><a name="konfigurationsparameter_allgemein_sso" id="konfigurationsparameter_allgemein_bku7"></a>3.1.8 Single-Sign On(SSO)</h3>
+<p>In der SSO Konfiguration muss angegeben werden in welchem Bereich (&ouml;ffentlicher oder privatwirtschaftlicher Bereich) die MOA-ID-Auth Instanz betrieben wird. Je nach dem zu welchem Bereich die Instanz zugeordnet ist ergibt sich ein unterschiedlicher Funktionsumfang der SSO Funktionalit&auml;t.</p>
<ol>
<li><strong>&Ouml;ffentlicher Bereich:</strong> Die MOA-ID-Auth Instanz ist einem &ouml;ffentlichen Bereich f&uuml;r SSO zugeordnet. In diesem Fall k&ouml;nnen sowohl &ouml;ffentlichen als auch privatwirtschaftliche Applikationen diese MOA-ID-Auth Instanz f&uuml;r eine Anmeldung mittels SSO Nutzen. Eine Zuordnung in den &ouml;ffentlichen Bereich ist jedoch nur dann M&ouml;glich wenn mindestens eine der folgenden Anforderungen erf&uuml;llt ist.
<ul>
@@ -1012,14 +1181,9 @@ Checking</td>
<th width="843" scope="col">Beschreibung</th>
</tr>
<tr>
- <td><span id="wwlbl_loadGeneralConfig_moaconfig_ssoPublicUrl">SSO Service URL-Prefix</span></td>
- <td>https://demo.egiz.gv.at/moa-id-auth/</td>
- <td>URL-Prefix der MOA-ID Instanz. Dieser URL wird als Service-URL im Authblock eingetragen und durch die BenutzerIn / den Benutzer signiert.</td>
- </tr>
- <tr>
<td><p><span id="wwlbl_loadGeneralConfig_moaconfig_ssoFriendlyName">SSO Service Name</span></p></td>
<td>EGIZ MOA-ID 2.0</td>
- <td>&Ouml;ffentlicher Name der MOA-ID Instanz. Dieser Name wird in den Authblock eingetragen und durch die BenutzerIn / den Benutzer signiert.</td>
+ <td>&Ouml;ffentlicher Name der MOA-ID Instanz. Dieser Name wird in den Authblock eingetragen und durch die BenutzerIn oder den Benutzer signiert.</td>
</tr>
<tr>
<td><p><span id="wwlbl_loadGeneralConfig_moaconfig_ssoTarget ">SSO Service Target</span></p></td>
@@ -1039,9 +1203,9 @@ Checking</td>
<tr>
<td><span id="wwlbl_loadGeneralConfig_moaconfig_ssoSpecialText">SSO AuthBlockText</span></td>
<td>Ich #NAME# stimme am #DATE# um #TIME# einer Anmeldung mittels Single Sign-On zu.</td>
- <td><p>Zus&auml;tzlicher Text der in den AuthBlock eingetragen und vom der BenutzerIn / dem Benutzer signiert wird. Dieser Text, darf aus Buchstaben, Zahlen und Satzzeichen bestehen und wird als direkt nach der &Uuml;berschrift &quot;Anmeldeinformationen&quot; in den Aufblock eingeblendet. Die folgenden Schl&uuml;sselw&ouml;rter k&ouml;nnen zus&auml;tzlich verwendet werden und werden w&auml;hrend des Anmeldevorgangs durch die entsprechenden Anmeldedaten erstetzt.</p>
+ <td><p>Zus&auml;tzlicher Text der in den AuthBlock eingetragen und von der BenutzerIn oder dem Benutzer signiert wird. Dieser Text, darf aus Buchstaben, Zahlen und Satzzeichen bestehen und wird als direkt nach der &Uuml;berschrift &quot;Anmeldeinformationen&quot; in den Aufblock eingeblendet. Die folgenden Schl&uuml;sselw&ouml;rter k&ouml;nnen zus&auml;tzlich verwendet werden und werden w&auml;hrend des Anmeldevorgangs durch die entsprechenden Anmeldedaten ersetzt.</p>
<ul>
- <li>#NAME# wird ersetzt durch Vor- und Familenname (z.B. Max Mustermann)</li>
+ <li>#NAME# wird ersetzt durch Vor- und&nbsp;Familienname (z.B. Max Mustermann)</li>
<li>#DATE# wird ersetzt durch das aktuelle Datum (z.B. 05.02.2014)</li>
<li>#TIME# wird ersetzt durch die aktuelle Uhrzeit (z.B. 10:35)</li>
</ul>
@@ -1082,13 +1246,13 @@ Checking</td>
<p></p>
<h3><a name="konfigurationsparameter_allgemein_protocol" id="konfigurationsparameter_allgemein_bku9"></a>3.1.9 Protokolle</h3>
<p>Hierbei handelt es ich um allgemeine Einstellungen zu den vom Modul MOA-ID-Auth unterst&uuml;tzen Authentifizierungsprotokollen.</p>
-<h4><a name="konfigurationsparameter_allgemein_protocol_allowed" id="konfigurationsparameter_allgemein_bku10"></a>3.1.9.1 Protkolle aktivieren</h4>
+<h4><a name="konfigurationsparameter_allgemein_protocol_allowed" id="konfigurationsparameter_allgemein_bku10"></a>3.1.10.1 Protokolle aktivieren</h4>
<p>In diesem Abschnitt k&ouml;nnen die einzelnen von MOA-ID-Auth unterst&uuml;tzen Authentifizierungsprotokolle aktiviert oder deaktiviert werden. Diese Einstellung gilt f&uuml;r die gesamte MOA-ID-Auth Instanz.</p>
-<h4><a name="konfigurationsparameter_allgemein_protocol_legacy" id="konfigurationsparameter_allgemein_bku11"></a>3.1.9.2 Legacy Modus</h4>
+<h4><a name="konfigurationsparameter_allgemein_protocol_legacy" id="konfigurationsparameter_allgemein_bku11"></a>3.1.10.2 Legacy Modus</h4>
<p>Ab der Version 2.0 des Modules MOA-ID-Auth wird die B&uuml;rgerkartenauswahl standardm&auml;&szlig;ig von MOA-ID-Auth bereitgestellt und erfolgt im Kontext von MOA-ID-Auth. Dem zu Folge m&uuml;ssen die aus MOA-ID 1.5.1 bekannten StartAuthentication Parameter (target, bkuURL, template, usemandate) nicht mehr im StartAuthentication Request &uuml;bergeben werden.</p>
-Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der Online-Applikation erfolgen muss f&uuml;r das jeweilige Protokoll der Legacy Modus aktiviert werden. Wird der Legacy Modus verwendet m&uuml;ssen jedoch die bkuURL, das Security-Layer Template und der Target mit den bei MOA-ID-Auth hinterlegten Konfigurationsparametern der Online-Applikation &uuml;bereinstimmten. Detailinformationen hierzu finden Sie im Kapitel Protokolle. TODO:
-<h4><a name="konfigurationsparameter_allgemein_protocol_saml1" id="konfigurationsparameter_allgemein_bku12"></a>3.1.9.3 SAML1 Konfiguration</h4>
-<p>Die SourceID ist ein Teil des SAML1 Artifacts welches zur Abholung der SAML1 Assertion an die Online-Applikation zur&uuml;ckgegeben wird. Standardm&auml;&szlig;ig wird die SourceID aus der URL der jeweiligen Online-Applikation, an der die Anmeldung stattfinden, generiert. Optional kan jedoch eine SourceID f&uuml;r die gesamte MOA-ID-Auth Instanz vergeben werden, welche f&uuml;r alle Online-Applikationen verwendet wird.</p>
+Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der Online-Applikation erfolgen muss f&uuml;r das jeweilige Protokoll der Legacy Modus aktiviert werden. Wird der Legacy Modus verwendet m&uuml;ssen jedoch die bkuURL, das Security-Layer Template und der Target mit den bei MOA-ID-Auth hinterlegten Konfigurationsparametern der Online-Applikation &uuml;bereinstimmten. Detailinformationen hierzu finden Sie im Kapitel <a href="./../protocol/protocol.html#allgemeines_legacy">Protokolle</a>.
+<h4><a name="konfigurationsparameter_allgemein_protocol_saml1" id="konfigurationsparameter_allgemein_bku12"></a>3.1.10.3 SAML1 Konfiguration</h4>
+<p>Die SourceID ist ein Teil des SAML1 Artifacts welches zur Abholung der SAML1 Assertion an die Online-Applikation zur&uuml;ckgegeben wird. Standardm&auml;&szlig;ig wird die SourceID aus der URL der jeweiligen Online-Applikation, an der die Anmeldung stattfinden, generiert. Optional kann jedoch eine SourceID f&uuml;r die gesamte MOA-ID-Auth Instanz vergeben werden, welche f&uuml;r alle Online-Applikationen verwendet wird.</p>
<table width="1247" border="1">
<tr>
<th width="101" scope="col">Name</th>
@@ -1102,9 +1266,9 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
</tr>
</table>
<p>&nbsp;</p>
-<h4><a name="konfigurationsparameter_allgemein_protocol_pvp21" id="konfigurationsparameter_allgemein_bku13"></a>3.1.9.4 PVP2.1 Konfiguration</h4>
+<h4><a name="konfigurationsparameter_allgemein_protocol_pvp21" id="konfigurationsparameter_allgemein_bku13"></a>3.1.10.4 PVP2.1 Konfiguration</h4>
<p>Die allgemeinen Konfigurationsparameter f&uuml;r das Authentifizierungsprotkoll PVP2.1 behandeln Informationen zum Betreiber der MOA-ID-Auth Instanz und zu einer Ansprechperson f&uuml;r diese Instanz. Diese Parameter werden in den PVP2.1 Metadaten, die von MOA-ID-Auth f&uuml;r Online-Applikation (Service Providern) bereitgestellt werden, eingetragen.</p>
-<h5><a name="konfigurationsparameter_allgemein_protocol_pvp21_org" id="konfigurationsparameter_allgemein_bku15"></a>3.1.9.4.1 Betreiberorganisation</h5>
+<h5><a name="konfigurationsparameter_allgemein_protocol_pvp21_org" id="konfigurationsparameter_allgemein_bku15"></a>3.1.10.4.1 Betreiberorganisation</h5>
<table width="1247" border="1">
<tr>
<th width="210" scope="col">Name</th>
@@ -1112,11 +1276,6 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<th width="823" scope="col">Beschreibung</th>
</tr>
<tr>
- <td>PVP2 Service URL-Prefix</td>
- <td>https://demo.egiz.gv.at/moa-id-auth/</td>
- <td>Public-URL Prefix unter der die MOA-ID-Auth Instanz erreichbar ist.</td>
- </tr>
- <tr>
<td><p>PVP Service Name</p></td>
<td>MOA-ID 2.0 Demo IDP</td>
<td>Name der MOA-ID-Auth Instanz. Dieser Name wird in den Metadaten im Element <em>md:EntitiesDescriptor</em> als Attribut <em>Name</em> angezeigt.</td>
@@ -1137,8 +1296,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td>URL zu einer Seite mit Informationen der Organisation welche die MOA-ID-Auth Instanz betreibt. Dieser Parameter wird in den Metadaten im Element <em>md:Organization</em>/<em>md:OrganizationURL</em> angezeigt.</td>
</tr>
</table>
-<h5><a name="konfigurationsparameter_allgemein_protocol_pvp21_contact" id="konfigurationsparameter_allgemein_bku16"></a>3.1.9.4.2 Kontaktperson</h5>
-<p>TODO:</p>
+<h5><a name="konfigurationsparameter_allgemein_protocol_pvp21_contact" id="konfigurationsparameter_allgemein_bku16"></a>3.1.10.4.2 Kontaktperson</h5>
<table width="1247" border="1">
<tr>
<th width="164" scope="col">Name</th>
@@ -1184,8 +1342,8 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<p>Dieser Name wird in den Metadaten im Element <em>md:ContactPerson</em>als Attribut <em>contactType</em> angezeigt.</p></td>
</tr>
</table>
-<h3><a name="konfigurationsparameter_allgemein_sltransform" id="konfigurationsparameter_allgemein_bku14"></a>3.1.10 SecurityLayer Transformationen</h3>
-<p>Die SecurityLayer (SL) Transformation, welche von MOA-ID-Auth f&uuml;r die Erstellung der Signatur des AuthBlock verwendet werden soll, muss hier angegebn weren. &Uuml;ber das Datei-Upload Feld kann die zu verwendende Transformation hochgeladen werden. Diese befindet sich in der MOA-ID-Auth Defaultkonfiguration im Ordner <em>/conf/moa-id/transforms/ TransformsInfoAuthBlockTable_DE_2.0.xml</em>. TODO: URL</p>
+<h3><a name="konfigurationsparameter_allgemein_sltransform" id="konfigurationsparameter_allgemein_bku14"></a>3.1.11 Security-Layer Transformationen</h3>
+<p>Die Security-Layer (SL) Transformation, welche von MOA-ID-Auth f&uuml;r die Erstellung der Signatur des AuthBlock verwendet werden soll, muss hier angegeben werden. &Uuml;ber das Datei-Upload Feld kann die zu verwendende Transformation hochgeladen werden. Diese befindet sich in der MOA-ID-Auth Defaultkonfiguration im Ordner <em><a href="./../../../conf/moa-id/transforms/TransformsInfoAuthBlockTable_DE_2.0.xml">/conf/moa-id/transforms/ TransformsInfoAuthBlockTable_DE_2.0.xml</a></em>.</p>
<h2><a name="konfigurationsparameter_oa" id="uebersicht_zentraledatei_aktualisierung3"></a>3.2 Online Applikationen</h2>
<p>Die Konfiguration von Online-Applikationen erfolgt ebenfalls mit Hilfe des Moduls MOA-ID-Configuration. Es k&ouml;nnen sowohl neue Online-Applikationen erstellt als auch bestehende Online-Applikationen bearbeitet oder gel&ouml;scht werden. Der erlaubte Konfigurationsumfang h&auml;ngt jedoch von Role des aktuellen Benutzers ab, wobei eine Konfiguration der gesamten Parameter nur einem Benutzer mit der Role <em>admin</em> m&ouml;glich ist. Alle Konfigurationsfelder die nur einem Benutzer mit der Role <em>admin</em> zur Verf&uuml;gung stehen sind gesondert gekennzeichnet.</p>
<h3><a name="konfigurationsparameter_oa_general" id="uebersicht_zentraledatei_aktualisierung17"></a>3.2.1 Informationen zur Online-Applikation (Service Provider)</h3>
@@ -1218,14 +1376,14 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td>Demo Applikation A</td>
<td align="center">&nbsp;</td>
<td align="center">&nbsp;</td>
- <td>Hier muss eine benutzerfreundlicher Name f&uuml;r die Online-Applikation angegeben werden. Dieser Name scheint beim Login des Benutzer oder am Online-Vollmachten Service bei der Vollmachtenauswahl auf.</td>
+ <td>Hier muss ein benutzerfreundlicher Name f&uuml;r die Online-Applikation angegeben werden. Dieser Name scheint w&auml;hrend der Authentifizierung des Benutzers oder am Online-Vollmachten Service bei der Vollmachten Auswahl auf.</td>
</tr>
<tr>
<td>Privatwirtschaftliche Applikation</td>
<td>&nbsp;</td>
<td align="center">&nbsp;</td>
<td align="center">&nbsp;</td>
- <td>Definiert ob die Online-Applikation dem &ouml;ffentlichen Bereich oder dem privatwirtschaftlichen Bereich (BusinessService) zugeordent ist. Ja nach Bereich sind unterschiedliche Konfigurationsparameter erforderlich.</td>
+ <td>Definiert ob die Online-Applikation dem &ouml;ffentlichen Bereich oder dem privatwirtschaftlichen Bereich (Business Service) zugeordnet ist. Ja nach Bereich sind unterschiedliche Konfigurationsparameter erforderlich.</td>
</tr>
</table>
<h4><a name="konfigurationsparameter_oa_general_public" id="uebersicht_zentraledatei_aktualisierung18"></a>3.2.1.1 &Ouml;ffentlicher Bereich</h4>
@@ -1250,21 +1408,21 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td>&nbsp;</td>
<td align="center">&nbsp;</td>
<td align="center">X</td>
- <td>Der angegebene &ouml;ffentliche Bereich kann mit Hilfe eines Sub-Bereich verfeinert werden. Wird ein Sub-Bereich konfiguriert wird dieser an das k&uuml;rzel des &ouml;ffentlichen Bereichs angeh&auml;ngt.</td>
+ <td>Der angegebene &ouml;ffentliche Bereich kann mit Hilfe eines Sub-Bereich verfeinert werden. Wird ein Sub-Bereich konfiguriert wird dieser an das K&uuml;rzel des &ouml;ffentlichen Bereichs angeh&auml;ngt.</td>
</tr>
<tr>
<td><p><span id="wwlbl_adminTarget">Anderen Bereich frei definieren</span></p></td>
<td>&nbsp;</td>
<td align="center">X</td>
<td align="center">X</td>
- <td>Dieses Option erlaubt die freie Definition eines &ouml;ffentlichen Bereichs. Soll ein freier Bereich f&uuml;r die Online-Applikation verwendet werden muss sowohl das Bereichsk&uuml;rzel als auch ein Name f&uuml;r den Bereich angegeben werden.</td>
+ <td>Diese Option erlaubt die freie Definition eines &ouml;ffentlichen Bereichs. Soll ein freier Bereich f&uuml;r die Online-Applikation verwendet werden muss sowohl das Bereichsk&uuml;rzel als auch ein Name f&uuml;r den Bereich angegeben werden.</td>
</tr>
</table>
<p>&nbsp;</p>
-<p><strong>Hinweis:</strong> Wird die Online-Applikation durch eine BenutzerIn oder einem Benutzer ohne die Role <em>admin</em> angelegt, wird vor der Speicherung &uuml;berp&uuml;ft ob die Online-Applikation alle Anforderungen an eine &ouml;ffentliche Applikation erf&uuml;llt. Die &Uuml;berpr&uuml;fung erfolgt auf Basis des eindeutigen Identifikatiors (Public-URL PRefix) der Online-Applikation und es muss mindestens eine der folgenden Anforderungen erf&uuml;llt sein. </p>
+<p><strong>Hinweis:</strong> Wird die Online-Applikation durch eine BenutzerIn oder einem Benutzer ohne die Role <em>admin</em> angelegt, wird vor der Speicherung &uuml;berp&uuml;ft ob die Online-Applikation alle Anforderungen an eine &ouml;ffentliche Applikation erf&uuml;llt. Die &Uuml;berpr&uuml;fung erfolgt auf Basis des eindeutigen Identifikators (Public-URL PRefix) der Online-Applikation und es muss mindestens eine der folgenden Anforderungen erf&uuml;llt sein. </p>
<ul>
- <li>Die &ouml;ffentliche URL unter der die MOA-ID-Auth Instanz betrieben wird muss einen <em>*.gv.at</em> Domain aufweisen. (Beispiel: https://demo.egiz.gv.at/moa-id-auth)</li>
- <li>Der SSL Serverzertifikat der MOA-ID-Auth Instanz weist eine der folgenden Eigenschaften auf.
+ <li>Die &ouml;ffentliche URL unter der die Online-Applikation erreichbar ist (Public-URL Prefix) muss einen <em>*.gv.at</em> Domain aufweisen. (Beispiel: https://demo.egiz.gv.at/moa-id-oa)</li>
+ <li>Der SSL Serverzertifikat der Online-Applikation weist eine der folgenden Eigenschaften auf.
<ul>
<li>Veraltungseigenschaft (OID=1.2.40.0.10.1.1.1)</li>
<li>Dienstleistereigenschaft (OID=1.2.40.0.10.1.1.2)</li>
@@ -1272,7 +1430,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
</li>
</ul>
<h4><a name="konfigurationsparameter_oa_general_business" id="uebersicht_zentraledatei_aktualisierung19"></a>3.2.1.2 Privatwirtschaftlicher Bereich</h4>
-<p>Wurde die Online-Applikation einem privatwirtschaftlichen Bereich zugeordnet muss in weiterer Folge die Stammzahl des privatwirtschaftlichen Unternehmens angegeben werden. Die Stammzahl des &ouml;ffentlichen Bereichs muss mit dem entsprechenden Prefix des Bereichs angegeben werden, wobei der Prefix aus einer vorgegbenen Liste gew&auml;hlt werden muss. </p>
+<p>Wurde die Online-Applikation einem privatwirtschaftlichen Bereich zugeordnet muss in weiterer Folge die Stammzahl des privatwirtschaftlichen Unternehmens angegeben werden. Die Stammzahl des &ouml;ffentlichen Bereichs muss mit dem entsprechenden Prefix des Bereichs angegeben werden, wobei der Prefix aus einer vorgegebenen Liste gew&auml;hlt werden muss. </p>
<ul>
<li>FN: Die Stammzahl ist eine Firmenbuchnummer. (Beispiel: <em>FN468924i</em>)</li>
<li>ZVR: Die Stammzahl ist eine Vereinsnummer. (Beispiel: ZVR124572)</li>
@@ -1295,10 +1453,10 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td align="center">&nbsp;</td>
<td>Stammzahl eines privatwirtschaftlichen Unternehmens. Die Angabe erfolgt durch den Prefix des Bereichs aus dem die Stammzahl stammt und der eigentlichen Stammzahl.</td>
</tr>
- </table>
+</table>
<h3><a name="konfigurationsparameter_oa_bku" id="uebersicht_zentraledatei_aktualisierung20"></a>3.2.2 BKU Konfiguration</h3>
-<p>In diesem Abschnitt behandelt online-applikationsspezifische Einstellungen zum Anmeldeprozess. Diese Einstellungen stehen jedoch nur einer BenutzerIn oder einem Benutzer mit der Role <em>admin</em> zur Verf&uuml;gung.</p>
+<p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zum Anmeldeprozess. Diese Einstellungen stehen jedoch nur einer BenutzerIn oder einem Benutzer mit der Role <em>admin</em> zur Verf&uuml;gung.</p>
<table width="1248" border="1">
<tr>
<th width="168" scope="col">Name</th>
@@ -1314,49 +1472,49 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
https-security-layer-request</p></td>
<td align="center">X</td>
<td align="center">X</td>
- <td>URL zu einer applikationspezifischen Online-BKU Instanz. Erfolgt keine applikationsspezifische Konfiguration wird die <a href="#konfigurationsparameter_allgemein_bku">Online-BKU der allgemeinen Konfiguration</a> f&uuml;r den Anmeldevorgang verwendet.</td>
+ <td>URL zu einer applikationsspezifischen Online-BKU Instanz. Erfolgt keine applikationsspezifische Konfiguration wird die <a href="#konfigurationsparameter_allgemein_bku">Online-BKU der allgemeinen Konfiguration</a> f&uuml;r den Anmeldevorgang verwendet.</td>
</tr>
<tr>
<td><p><span id="wwlbl_newOA_generalOA_bkuHandyURL">Handy BKU</span></p></td>
<td>https://www.handy-signatur.at/mobile/https-security-layer-request/default.aspx</td>
<td align="center">X</td>
<td align="center">X</td>
- <td>URL zu einer applikationspezifischen Handy-BKU Instanz. Erfolgt keine applikationsspezifische Konfiguration wird die <a href="#konfigurationsparameter_allgemein_bku">Handy-BKU der allgemeinen Konfiguration</a> f&uuml;r den Anmeldevorgang verwendet.</td>
+ <td>URL zu einer applikationsspezifischen Handy-BKU Instanz. Erfolgt keine applikationsspezifische Konfiguration wird die <a href="#konfigurationsparameter_allgemein_bku">Handy-BKU der allgemeinen Konfiguration</a> f&uuml;r den Anmeldevorgang verwendet.</td>
</tr>
<tr>
<td><p><span id="wwlbl_newOA_generalOA_bkuLocalURL">Locale BKU</span></p></td>
<td>https://127.0.0.1:3496/https-security-layer-request</td>
<td align="center">X</td>
<td align="center">X</td>
- <td>URL auf die lokale BKU Instanz. Erfolgt keine applikationsspezifische Konfiguration wird die <a href="#konfigurationsparameter_allgemein_bku">locale BKU der allgemeinen Konfiguration</a> f&uuml;r den Anmeldevorgang verwendet.</td>
+ <td>URL auf die lokale BKU Instanz. Erfolgt keine applikationsspezifischen Konfiguration wird die <a href="#konfigurationsparameter_allgemein_bku">locale BKU der allgemeinen Konfiguration</a> f&uuml;r den Anmeldevorgang verwendet.</td>
</tr>
<tr>
<td><span id="wwlbl_newOA_generalOA_keyBoxIdentifier">KeyBoxIdentifier</span></td>
<td><span id="wwctrl_newOA_generalOA_keyBoxIdentifier">SecureSignatureKeypair</span></td>
<td align="center">X</td>
<td align="center">&nbsp;</td>
- <td>Konfiguriert das Schl&uuml;sselpaar, welches von der B&uuml;rerkartenumgebung zum Signieren des AuthBlocks verwendet wird. (Defaultwert: <span id="wwctrl_newOA_generalOA_keyBoxIdentifier2"><em>SecureSignatureKeypair</em></span>)</td>
+ <td>Konfiguriert das Schl&uuml;sselpaar, welches von der B&uuml;rgerkartenumgebung zum Signieren des AuthBlocks verwendet wird. (Defaultwert: <span id="wwctrl_newOA_generalOA_keyBoxIdentifier2"><em>SecureSignatureKeypair</em></span>)</td>
</tr>
<tr>
<td><span id="wwlbl_OAislegacy">SecurityLayerTemplates (Legacy Request)</span></td>
<td>&nbsp;</td>
<td align="center">X</td>
<td align="center">X</td>
- <td>&Uuml;ber diese Funktion k&ouml;nnen drei zus&auml;tzliche SecurtityLayer-Request Templates f&uuml;r diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zus&auml;tzliche WhiteList f&uuml;r Templetes welche im &bdquo;StartAuthentication&ldquo; Request mit dem Parameter &bdquo;template&ldquo; &uuml;bergeben werden. Sollte im &bdquo;StartAuthentication&ldquo; Request der Parameter &bdquo;template&ldquo; fehlen, es wurde jedoch eine &bdquo;bkuURL&ldquo; &uuml;bergeben, dann wird f&uuml;r den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum legacy Request finden Sie im Kapitel Protokolle. TODO:</td>
+ <td>&Uuml;ber diese Funktion k&ouml;nnen drei zus&auml;tzliche SecurtityLayer-Request Templates f&uuml;r diese Online-Applikation definiert werden. Diese hier definierten Templates dienen als zus&auml;tzliche WhiteList f&uuml;r Templetes welche im &bdquo;StartAuthentication&ldquo; Request mit dem Parameter &bdquo;template&ldquo; &uuml;bergeben werden. Sollte im &bdquo;StartAuthentication&ldquo; Request der Parameter &bdquo;template&ldquo; fehlen, es wurde jedoch eine &bdquo;bkuURL&ldquo; &uuml;bergeben, dann wird f&uuml;r den Authentifizierungsvorgang das erste Template in dieser Liste verwendet. Detailinformationen zum <a href="./../protocol/protocol.html#allgemeines_legacy">Legacy Request</a> finden Sie im Kapitel Protokolle.</td>
</tr>
<tr>
<td>BKU-Selection Template</td>
<td>&nbsp;</td>
<td align="center">X</td>
<td align="center">X</td>
- <td>Diesers Feld erlaubt die Konfiguration einer online-applikationsspezifischen Tempaltes f&uuml;r die B&uuml;rgerkartenauswahl. Dieses Template muss in die Konfguration hochgeladen werden und muss die Mindestanforderungen aus Kapitel 1.4 TODO umsetzen. Da diese Templates direkt in den Authentifizierungsprozess eingreifen und diese somit eine potentielle Angriffsstelle f&uuml;r Cross-Site Scripting (XSS) bieten wird die Verwendung von online-applikationsspezifischen Templates nicht empfohlen. </td>
+ <td>Dieses Feld erlaubt die Konfiguration eines online-applikationsspezifischen Templates f&uuml;r die B&uuml;rgerkartenauswahl. Dieses Template muss in die Konfiguration hochgeladen werden und muss die Mindestanforderungen aus <a href="#import_template_bku">Kapitel 4.1</a> umsetzen. Da diese Templates direkt in den Authentifizierungsprozess eingreifen und diese somit eine potentielle Angriffsstelle f&uuml;r Cross-Site Scripting (XSS) bieten wird die Verwendung von online-applikationsspezifischen Templates nicht empfohlen. </td>
</tr>
<tr>
<td>Send-Assertion Template</td>
<td>&nbsp;</td>
<td align="center">X</td>
<td align="center">X</td>
- <td>Diesers Feld erlaubt die Konfiguration einer online-applikationsspezifischen Tempaltes f&uuml;r die zus&auml;tzliche Anmeldeabfrage im Falle einer Single Sign-On Anmeldung. Dieses Template muss in die Konfguration hochgeladen werden und muss die Mindestanforderungen aus Kapitel 1.4 TODO umsetzen. Da diese Templates direkt in den Authentifizierungsprozess eingreifen und diese somit eine potentielle Angriffsstelle f&uuml;r Cross-Site Scripting (XSS) bieten wird die Verwendung von online-applikationsspezifischen Templates nicht empfohlen.</td>
+ <td>Dieses Feld erlaubt die Konfiguration eines online-applikationsspezifischen Templates f&uuml;r die zus&auml;tzliche Anmeldeabfrage im Falle einer Single Sign-On Anmeldung. Dieses Template muss in die Konfiguration hochgeladen werden und muss die Mindestanforderungen aus <a href="#import_template_sso">Kapitel 4.2</a> umsetzen. Da diese Templates direkt in den Authentifizierungsprozess eingreifen und diese somit eine potentielle Angriffsstelle f&uuml;r Cross-Site Scripting (XSS) bieten wird die Verwendung von online-applikationsspezifischen Templates nicht empfohlen.</td>
</tr>
</table>
<h3><a name="konfigurationsparameter_oa_mandates" id="uebersicht_zentraledatei_aktualisierung21"></a>3.2.3 Vollmachten</h3>
@@ -1374,7 +1532,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td>&nbsp;</td>
<td align="center">&nbsp;</td>
<td align="center">X</td>
- <td>Definiet ob die Online-Applikation eine Anmeldung mittels Online-Vollmacht unterst&uuml;tzt. Werden Online-Vollmachten unterst&uuml;tzt wird in w&auml;hrend der BKU-Auswahl die Option <em>in Vertretung</em> f&uuml;r eine Anmeldung in Vertretung dargestellt.</td>
+ <td>Definiert ob die Online-Applikation eine Anmeldung mittels Online-Vollmacht unterst&uuml;tzt. Werden Online-Vollmachten unterst&uuml;tzt wird in w&auml;hrend der BKU-Auswahl die Option <em>in Vertretung</em> f&uuml;r eine Anmeldung in Vertretung dargestellt.</td>
</tr>
<tr>
<td><p><span id="wwlbl_newOA_generalOA_mandateProfiles">Profile</span></p></td>
@@ -1388,11 +1546,11 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td>&nbsp;</td>
<td align="center">&nbsp;</td>
<td align="center">X</td>
- <td>Definiert ob eine Online-Applikation ausschlie&szlig;lich Anmeldungen mittels Online-Vollmachten unterst&uuml;tzt. Wenn ja, wird in w&auml;hrend der BKU-Auswahl die Option <em>in Vertretung</em> f&uuml;r eine Anmeldung in Vertretung standardm&auml;&szlig;ig aktiviert und diese Einstellung kann durch die BenutzerIn oder den Benutzer nicht ge&auml;ndert werden..</td>
+ <td>Definiert ob eine Online-Applikation ausschlie&szlig;lich Anmeldungen mittels Online-Vollmachten unterst&uuml;tzt. Wenn ja, wird in w&auml;hrend der BKU-Auswahl die Option <em>in Vertretung</em> f&uuml;r eine Anmeldung in Vertretung standardm&auml;&szlig;ig aktiviert und diese Einstellung kann durch die BenutzerIn oder den Benutzer nicht ge&auml;ndert werden. </td>
</tr>
</table>
<p>&nbsp;</p>
-<p><strong>Hinweis:</strong> Werden f&uuml;r die Online-Applikation eigene Templates f&uuml;r die B&uuml;rgerkartenauswahl oder die zus&auml;tzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfgurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verf&uuml;gung.</p>
+<p><strong>Hinweis:</strong> Werden f&uuml;r die Online-Applikation eigene Templates f&uuml;r die B&uuml;rgerkartenauswahl oder die zus&auml;tzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfigurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verf&uuml;gung. Die Funktionalit&auml;t der entsprechenden Parameter hat jedoch weiterhin Einfluss auf den Anmeldevorgang.</p>
<h3><a name="konfigurationsparameter_oa_sso" id="uebersicht_zentraledatei_aktualisierung22"></a>3.2.4 Single Sign-On (SSO)</h3>
<p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu Single Sign-On</p>
<table width="1248" border="1">
@@ -1433,7 +1591,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td>STORK verwenden</td>
<td>ja</td>
<td align="center">&nbsp;</td>
- <td>Definiet ob die Online-Applikation eine Anmeldung mittels STORK unterst&uuml;tzt. Wird STORK unterst&uuml;tzt wird in w&auml;hrend der BKU-Auswahl die Option <em>Home Country Selection </em> f&uuml;r eine Anmeldung mittels STORK dargestellt.</td>
+ <td>Definiert ob die Online-Applikation eine Anmeldung mittels STORK unterst&uuml;tzt. Wird STORK unterst&uuml;tzt wird in w&auml;hrend der BKU-Auswahl die Option <em>Home Country Selection </em> f&uuml;r eine Anmeldung mittels STORK dargestellt.</td>
</tr>
<tr>
<td><p>QAA-Level</p></td>
@@ -1442,11 +1600,20 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td>Von der Online-Applikation geforderter mindest QAA-Level der Authentifizierung</td>
</tr>
<tr>
- <td><p>Attribute</p></td>
+ <td>aktivierte Ziell&auml;nder</td>
+ <td>&nbsp;</td>
+ <td align="center">&nbsp;</td>
+ <td><p>Hier k&ouml;nnen jene STORK L&auml;nder konfiguriert werden f&uuml;r welche diese Online-Applikation eine Anmeldung mittels STORK unterst&uuml;tzt.</p>
+ <p><strong>Hinweis:</strong> Die zur Auswahl stehenden L&auml;nder werden aus den <a href="#konfigurationsparameter_allgemein_stork">PEPS Konfigurationen</a> generiert, welche im allgemeinen Konfigurationsbereich hinterlegt wurden.</p></td>
+ </tr>
+ <tr>
+ <td><p>angeforderte Attribute</p></td>
<td>&nbsp;</td>
<td align="center">&nbsp;</td>
+ <td align="center">X</td>
<td><p>STORK Attribute welche die Online-Applikation anfordert</p>
<p>Bei den Attributen kann jedoch nur aus dem Set der in der allgemeinen Konfiguration hinterlegten STORK Attributen (siehe <a href="#konfigurationsparameter_allgemein_stork">Kapitel 3.1.8</a>) gew&auml;hlt werden, wobei Attribute die in der allgemeinen Konfiguration als <span class="term">zwingend</span> markiert sind immer mitgeliefert werden.</p></td>
+ <p>Bei den Attributen kann jedoch nur aus dem Set der in der allgemeinen Konfiguration hinterlegten STORK Attributen (siehe <a href="#konfigurationsparameter_allgemein_stork">Kapitel 3.1.9</a>) gew&auml;hlt werden, wobei Attribute die in der allgemeinen Konfiguration als &bdquo;Verpflichtend&ldquo; markiert sind immer mitgeliefert werden. </p></td>
</tr>
<tr>
<td><p>Stork Applikation</p></td>
@@ -1520,7 +1687,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<p><strong>Hinweis:</strong> Werden f&uuml;r die Online-Applikation eigene Templates f&uuml;r die B&uuml;rgerkartenauswahl oder die zus&auml;tzliche Anmeldeabfrage im SSO Fall (siehe <a href="#konfigurationsparameter_oa_bku">Abschnitt 3.2.2</a>) verwendet, stehen alle Konfgurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verf&uuml;gung.</p>
<h3><a name="konfigurationsparameter_oa_protocol" id="uebersicht_zentraledatei_aktualisierung24"></a>3.2.6 Authentifizierungsprotokolle</h3>
-<p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterst&uuml;tzen Authentifizierungsprotokollen. Eine Verwendung aller zur Verf&uuml;gung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls m&ouml;glich. Hierf&uuml;r muss nur alle ben&ouml;tigten Protokolle konfiguriert werden. N&auml;here Informationen zu den unterst&uuml;tzten Protokollen finden sie im Kapitel Protokolle. TODO:</p>
+<p>Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterst&uuml;tzen Authentifizierungsprotokollen. Eine Verwendung aller zur Verf&uuml;gung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls m&ouml;glich. Hierf&uuml;r m&uuml;ssen nur alle ben&ouml;tigten Protokolle konfiguriert werden. N&auml;here Informationen zu den unterst&uuml;tzten Protokollen finden sie im Kapitel <a href="./../protocol/protocol.html">Protokolle</a>.</p>
<p>Aus gr&uuml;nden der &Uuml;bersichtlichkeit kann der Konfigurationsbereich f&uuml;r jeden Protokoll, in der Web-Oberfl&auml;che des Konfigurationstools, ein- oder ausgeblendet werden.</p>
<h4><a name="konfigurationsparameter_oa_protocol_saml1" id="uebersicht_zentraledatei_aktualisierung25"></a>3.2.6.1 SAML1</h4>
<p>F&uuml;r das Protokoll SAML1 stehen folgende Konfigurationsparameter zur Verf&uuml;gung.</p>
@@ -1544,7 +1711,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td>&nbsp;</td>
<td align="center">X</td>
<td align="center">X</td>
- <td>Das Attribut bestimmt, ob die Stammzahl in den Anmeldedaten aufscheint oder ob der Wert ausgeblendet (d.h. auf den Leerstring gesetzt) wird. Bei Online-Applikationena aus dem privatwirtschaftlichen Bereich wird die Stammzahl immer ausgeblendet.</td>
+ <td>Das Attribut bestimmt, ob die Stammzahl in den Anmeldedaten aufscheint oder ob der Wert ausgeblendet (d.h. auf den Leerstring gesetzt) wird. Bei Online-Applikationen aus dem privatwirtschaftlichen Bereich wird die Stammzahl immer ausgeblendet.</td>
</tr>
<tr>
<td><span id="wwlbl_loadOA_saml1OA_provideAuthBlock">Authentifizierungsblock &uuml;bertragen</span></td>
@@ -1558,7 +1725,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td>&nbsp;</td>
<td align="center">X</td>
<td align="center">X</td>
- <td>Das Attribut bestimmt, ob die Personenbindung in den Anmeldedaten enthalten ist. Bei Online-Applikationena aus dem privatwirtschaftlichen Bereich wird die Stammzahl in der Personenbindung durch die jeweilige wbPK ersetzt.</td>
+ <td>Das Attribut bestimmt, ob die Personenbindung in den Anmeldedaten enthalten ist. Bei Online-Applikationen aus dem privatwirtschaftlichen Bereich wird die Stammzahl in der Personenbindung durch die jeweilige wbPK ersetzt.</td>
</tr>
<tr>
<td><span id="wwlbl_loadOA_saml1OA_provideCertificate">Zertifikat &uuml;bertragen</span></td>
@@ -1576,7 +1743,7 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
</tr>
</table>
<p>&nbsp;</p>
-<p><strong>Hinweis: </strong>Das Modul MOA-ID-Auth in der Version 2.0 unterst&uuml;tzt SAML1 nur mehr zur Abw&auml;rtskompatibilit&auml;t mit bereits bestehenden Online-Applikationen. Wir empfehlen den Umstieg auf ein anderes, von MOA-ID-Auth unterst&uuml;tztes, Authentifizierungsprotokol. Aus diesem Grund steht die Konfiguration des SAML1 Protkolls nur mehr einer BenutzerIn oder einem Benutzer mit die Role <em>admin</em> zur Verf&uuml;gung.</p>
+<p><strong>Hinweis: </strong>Das Modul MOA-ID-Auth in der Version 2.0 unterst&uuml;tzt SAML1 nur mehr zur Abw&auml;rtskompatibilit&auml;t mit bereits bestehenden Online-Applikationen. Wir empfehlen den Umstieg auf ein anderes, von MOA-ID-Auth unterst&uuml;tztes, Authentifizierungsprotokoll. Aus diesem Grund steht die Konfiguration des SAML1 Protokolls nur mehr einer BenutzerIn oder einem Benutzer mit der Role <em>admin</em> zur Verf&uuml;gung.</p>
<h4><a name="konfigurationsparameter_oa_protocol_pvp21" id="uebersicht_zentraledatei_aktualisierung26"></a>3.2.6.2 PVP 2.1</h4>
<p>In diesem Bereich erfolgt die applikationsspezifische Konfiguration f&uuml;r das Authentifizierungsprotokoll PVP 2.1.</p>
<table width="1250" border="1">
@@ -1592,14 +1759,15 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
<td>&nbsp;</td>
<td align="center">&nbsp;</td>
<td align="center">X</td>
- <td>Wird diese Option gew&auml;hlt erfolgt nach dem Speicher der Konfiguration eine Neu-initialisierung der PVP 2.1 Metadaten der Online-Applikation durch die MOA-ID-Auth Instanz. </td>
+ <td>Wird diese Option gew&auml;hlt erfolgt nach dem Speicher der Konfiguration eine Neuinitialisierung der PVP 2.1 Metadaten der Online-Applikation durch die MOA-ID-Auth Instanz. </td>
</tr>
<tr>
<td>URL zu den Metadaten</td>
<td>http://demo.egiz.gv.at/demologin-pvp2-sso/metadata/demoportal-pvp2-sso.mdxml</td>
<td align="center">&nbsp;</td>
<td align="center">&nbsp;</td>
- <td>URL unter der die MOA-ID-Auth Instanz die Metadaten der Online-Applikation beziehen kann. Diese Metadaten m&uuml;ssen durch die Online-Applikation signiert sein. F&uuml;r den Fall das die Metadaten &uuml;ber https abgeholt werden, muss ja jeweilige Serverzertifikat zur Zertifikatspr&uuml;fung im <a href="../install/install.html#webservice_basisinstallation_installation_spssdeploy">TrustStore der MOA-ID-Auth Instanz</a> hinterlegt sein.</td>
+ <td>URL unter der die MOA-ID-Auth Instanz die Metadaten der Online-Applikation beziehen kann. Diese Metadaten m&uuml;ssen durch die Online-Applikation signiert sein. F&uuml;r den Fall das die Metadaten &uuml;ber https abgeholt werden, muss ja jeweilige Serverzertifikat zur Zertifikatspr&uuml;fung im <a href="../install/install.html#webservice_basisinstallation_installation_spssdeploy">TrustStore der MOA-ID-Auth Instanz</a> hinterlegt sein. Die Metadaten werden anschlie&szlig;end durch MOA-ID-Auth innerhalb des in den Metadaten angegebenen G&uuml;ltigkeitszeitraums automatisch aktuallisiert. Das Aktuallisierungsintervall bei automatischer Aktualisierung betr&auml;gt jedoch mindestens 15 Minuten jedoch nicht mehr als 24 Stunden. (Interval: 15min &lt; Aktualisierungszeitpunkt &lt; 24 Stunden)
+ <p><b>Hinweis:</b> Metadaten können nur über http oder https bezogen werden. Das Laden von Metadaten aus dem lokalen Verzeichnissystem ist nicht möglich.</p></td>
</tr>
<tr>
<td>Infos zum Zertifikat</td>
@@ -1652,9 +1820,9 @@ Soll die B&uuml;rgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
</table>
<p>&nbsp;</p>
<h3><a name="konfigurationsparameter_oa_additional" id="uebersicht_zentraledatei_aktualisierung28"></a>3.2.7 Zus&auml;tzliche allgemeine Einstellungen</h3>
-<p>In Abschnitt ermöglicht eine erweiterte online-applikationsspezifische Indivitualisierung des AuthBlocks und der Bürgerkartenauswahl.
-Die Inividualisierung des AuthBlocks steht jedoch dann zur Verfügung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation (siehe Kapitel TODO:) verwendet wird oder
-wenn die indivituelle Security-Layer Transformation den Formvorschriften der Spezifikation entspricht.</p>
+<p>In Abschnitt ermöglicht eine erweiterte online-applikationsspezifische Individualisierung des AuthBlocks und der Bürgerkartenauswahl.
+Die Individualisierung des AuthBlocks steht jedoch dann zur Verfügung wenn die dem Module MOA-ID-Auth beigelegte Security-Layer Transformation verwendet wird oder
+wenn die individuelle Security-Layer Transformation den Formvorschriften der Spezifikation entspricht.</p>
<table width="1250" border="1">
<tr>
<th width="87" scope="col">Name</th>
@@ -1666,30 +1834,30 @@ wenn die indivituelle Security-Layer Transformation den Formvorschriften der Sp
<tr>
<td>AuthblockText</td>
<td>Mit meiner Anmeldung bestätige ich #NAME# am #DATE# um #TIME# die Übernahme aller meiner Zustellstücke.</td>
- <td align="center">&nbsp;</td>
- <td align="center">&nbsp;</td>
- <td><p>Zus&auml;tzlicher online-applikationsspezifischer Text der in den AuthBlock eingetragen und somit von der BenutzerIn oder dem Benutzer signiert wird. Dieser Text, darf aus Buchstaben, Zahlen und Satzzeichen bestehen und wird direkt nach der &Uuml;berschrift &quot;Anmeldeinformationen&quot; in den Aufblock eingeblendet. Die folgenden Schl&uuml;sselw&ouml;rter k&ouml;nnen zus&auml;tzlich verwendet werden und werden w&auml;hrend des Anmeldevorgangs durch die entsprechenden Anmeldedaten erstetzt.</p>
+ <td align="center">X</td>
+ <td align="center">X</td>
+ <td><p>Zus&auml;tzlicher online-applikationsspezifischer Text der in den AuthBlock eingetragen und somit von der BenutzerIn oder dem Benutzer signiert wird. Dieser Text, darf aus Buchstaben, Zahlen und Satzzeichen bestehen und wird direkt nach der &Uuml;berschrift &quot;Anmeldeinformationen&quot; in den Aufblock eingeblendet. Die folgenden Schl&uuml;sselw&ouml;rter k&ouml;nnen zus&auml;tzlich verwendet werden und werden w&auml;hrend des Anmeldevorgangs durch die entsprechenden Anmeldedaten ersetzt.</p>
<ul>
- <li>#NAME# wird ersetzt durch Vor- und Familenname (z.B. Max Mustermann)</li>
+ <li>#NAME# wird ersetzt durch Vor- und Familienname (z.B. Max Mustermann)</li>
<li>#DATE# wird ersetzt durch das aktuelle Datum (z.B. 05.02.2014)</li>
<li>#TIME# wird ersetzt durch die aktuelle Uhrzeit (z.B. 10:35)</li>
</ul>
<p>Der nebenstehende Beispielwert w&uuml;rde somit zu folgendem Anmeldetext im AuthBlock f&uuml;hren:</p>
<p><em>Mit meiner Anmeldung bestätige ich Max Mustermann am 05.02.2014 um 10:35 die Übernahme aller meiner Zustellstücke.</em></p>
<p><strong>Hinweis:</strong> Diese Option steht in Kombination mit Single Sign-On nicht zur Verfügung, da bei Verwendung von Single Sign-On ein
- spezieller Single Sign-On AuthBlock verwendet wird (siehe Kapitel xxxx TODO:).</p>
+ spezieller Single Sign-On AuthBlock verwendet wird (siehe <a href="#konfigurationsparameter_allgemein_sso">Kapitel 3.1.8</a>).</p>
</td>
</tr>
<tr>
<td>bPk/wbPk ausblenden</td>
<td>&nbsp;</td>
<td align="center">&nbsp;</td>
- <td align="center">&nbsp;</td>
+ <td align="center">X</td>
<td>Wird diese Option gewählt wird im AuthBlock, welcher im Anmeldevorgang signiert wird, keine bPK oder wbPK dargestellt.</td>
</tr>
</table>
<h4><a name="konfigurationsparameter_oa_additional_formular" id="uebersicht_zentraledatei_aktualisierung29"></a>3.2.7.1 Login-Fenster Konfiguration</h4>
-<p>Diese Menüpunkt bietet zusätzliche Einstellungen für eine Anpassung der Bürgerkartenauswahl welche von MOA-ID-Auth generiert wird.
+<p>Diese Konfigurationsparameter bieten zusätzliche Einstellungen für eine Anpassung der Bürgerkartenauswahl welche von MOA-ID-Auth generiert wird.
Zur besseren Handhabung werden die angegebenen Parameter direkt in einer Vorschau dargestellt.
Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Bedarf durch Standardwerte ergänzt.
</p>
@@ -1706,7 +1874,7 @@ Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Beda
<td>#E5E5E5</td>
<td align="center">X</td>
<td align="center">X</td>
- <td>Hintergrundfarbe der Bürgerkartenauswahl und Hintergrundfarbe des Java-Applets der Online-BKU. Die Angabe der Farbe erfolgt als RGB Wert in hexadezimaler Form.</td>
+ <td>Hintergrundfarbe der Bürgerkartenauswahl und Hintergrundfarbe des Java-Applets der Online-BKU (wird &uuml;ber den Security-Layer Request angegeben) . Die Angabe der Farbe erfolgt als RGB Wert in hexadezimaler Form.</td>
</tr>
<tr>
<td>Vordergrundfarbe</td>
@@ -1742,21 +1910,21 @@ Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Beda
<td align="center">&nbsp;</td>
<td align="center">X</td>
<td>Mit diesem Parameter kann der Redirct-Target welcher im Security-Layer Request an die BKU übergeben wird definiert werden. Die möglichen Parameter sind äquivalent zum
- html Attribut <i>target</i> (siehe html Spezifikation TODO:). </td>
+ html Attribut <i>target</i> (siehe <a href="#import_template_sltemplate">Kapitel 4.3</a>). </td>
</tr>
<tr>
<td>Applethöhe</td>
<td>220</td>
<td align="center">&nbsp;</td>
<td align="center">X</td>
- <td>Mit diesem Parameter kann die Höhe des Java-Applets der Online-BKU definiert werden.</td>
+ <td>Mit diesem Parameter kann die Höhe des Java-Applets der Online-BKU definiert werden. Dieser Parameter &uuml;berschreibt einen in der BKU-Auswahl &uuml;bergebenen Parameter (siehe <a href="#import_template_bku">Kapitel 3.4.1</a>).</td>
</tr>
<tr>
<td>Appletbreite</td>
<td>250</td>
<td align="center">&nbsp;</td>
<td align="center">X</td>
- <td>Mit diesem Parameter kann die Breite des Java-Appletes der Online-BKU definiert werden.</td>
+ <td>Mit diesem Parameter kann die Breite des Java-Appletes der Online-BKU definiert werden. Dieser Parameter &uuml;berschreibt einen in der BKU-Auswahl &uuml;bergebenen Parameter (siehe <a href="#import_template_bku">Kapitel 3.4.1</a>).</td>
</tr>
<tr>
<td>Formularschrifttypen</td>
@@ -1780,21 +1948,332 @@ Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Beda
<p>&nbsp;</p>
<h2><a name="import_export" id="uebersicht_zentraledatei_aktualisierung4"></a>3.3 Import / Export</h2>
<p>Über diese Funktionalität besteht die Möglichkeit eine bestehende MOA-ID 1.5.1
-Konfiguration in MOA-ID 2.0 zu importieren. Zusätzlich besteht die Möglichkeit eine MOA-ID 2.0
-Konfiguration in ein XML Dokument zu exportieren oder in eine bestehende MOA-ID 2.0
-XML Konfiguration zu importieren.</p>
+Konfiguration in MOA-ID 2.0 zu importieren. Zusätzlich besteht die Möglichkeit eine MOA-ID-Auth 2.0
+Konfiguration in ein XML Dokument zu exportieren oder in eine bestehende MOA-ID-Auth 2.0
+XML Konfiguration zu importieren. Eine exportierte MOA-ID-Auth 2.0 XML-Konfiguration kann auch direkt zur Konfiguration des Modules MOA-ID-Auth herangezogen werden (siehe <a href="#basisconfig_moa_id_auth_param_general">Kapitel 2.2.2.1</a>)</p>
<p><strong>Hinweis:</strong>
- Zu beachten ist, dass bei einem Import die aktuell vorhandene
-Konfiguration vollständig gelöscht und durch die importierte Konfiguration ersetzt wird.
-Es wird empfohlen ein Backup einer eventuell vorhandenen MOA-ID 2.0 Konfiguration
-zu erstellen, bevor eine neue Konfiguration importiert wird. Hierfür kann die
+ Zu beachten ist, dass bei einem Import die aktuell vorhandene
+ Konfiguration vollständig gelöscht und durch die importierte Konfiguration ersetzt wird.
+ Es wird empfohlen ein Backup einer eventuell vorhandenen MOA-ID 2.0 Konfiguration
+ zu erstellen, bevor eine neue Konfiguration importiert wird. Hierfür kann die
Exportfunktion verwendet werden.</p>
-<p>&nbsp;</p>
<h3><a name="import_export_legacy" id="uebersicht_zentraledatei_aktualisierung5"></a>3.3.1 Import alter Konfigurationen (&lt;= MOA-ID 1.5.1)</h3>
+<p>Es besteht auch die M&ouml;glichkeit eine bestehende MOA-ID 1.5.1 Konfiguration zu importieren. Da nicht alle neuen Konfigurationsparameter automatisiert aus der MOA-ID 1.5.1 Konfiguration erstellt werden sind f&uuml;r den Importvorgang mehrere Schritte notwendig.</p>
+<ol>
+ <li>Importieren einer bestehenden MOA-ID 1.5.1 Konfiguration mithilfe der Import Funktion des Modules MOA-ID-Configuration. Danach sollten sowohl die allgemeine Konfiguration als auch die Online-Applikationen eingetragen sein. </li>
+ <li>Allgemeine Konfiguration: Folgende Punkte der allgemeinen Konfiguration m&uuml;ssen auf jeden Fall kontrolliert und eventuell angepasst werden.
+ <ol>
+ <li><a href="#konfigurationsparameter_allgemein_publicurlprefix">Public URL Prefix</a>: Dieser Parameter MUSS konfiguriert werden.</li>
+ <li><a href="#konfigurationsparameter_allgemein_bku">Default BKU-URLs</a>: Die Konfiguration von Default BKU URLs wird empfohlen.</li>
+ <li><a href="#konfigurationsparameter_allgemein_sl-templates">Security-Layer Request Templates</a>: Dieser Parameter MUSS konfiguriert werden.</li>
+ <li><a href="#konfigurationsparameter_allgemein_sso">Single Sign-On Einstellungen</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_protocol_pvp21">PVP 2.1 Konfiguration</a></li>
+ <li><a href="#konfigurationsparameter_allgemein_sltransform">Securtiy-Layer Transformation</a>: Sollte die Security-Layer Transformation (siehe Kapitel 1.3.1.9) nicht korrekt importiert worden sein (Dateiname ist leer) muss diese neu hochgeladen werden. Die akuelle Transformation befindet sich in der MOA-ID-Auth Defaultkonfiguration im Ordner <em>/conf/moa-id/transforms/ TransformsInfoAuthBlockTable_DE_2.0.xml</em></li>
+ </ol>
+ </li>
+ <li>5. Online-Applikationen: Je nachdem welche Authentifizierungsprotokolle verwendet werden oder wenn Single Sign-On nicht unterst&uuml;tzen werden soll sind &Auml;nderungen an der Online-Applikationskonfiguration erforderlich. Hierf&uuml;r muss die jeweilige Online-Applikation aus der Liste der Online-Applikationen ausw&auml;hlen und die jeweiligen Parameter anpassen.
+ <ol>
+ <li><a href="#konfigurationsparameter_oa_sso">Single Sign-On</a>: Standardm&auml;&szlig;ig ist Single Sign-On aktiviert.</li>
+ <li><a href="#konfigurationsparameter_oa_protocol_pvp21">PVP2 Konfiguration</a>: Soll f&uuml;r die Authentifizierung das PVP2.1 Protokoll verwendet werden, so m&uuml;ssen die PVP2 spezifischen Parameter bei der jeweiligen Online-Applikation eingetragen werden.</li>
+ <li><a href="#konfigurationsparameter_oa_protocol_openIDConnect">OponID Connect Konfiguration</a>: Soll f&uuml;r die Authentifizierung das Protokoll OpenID Connect verwendet werden, so m&uuml;ssen alle OpenID Connect spezifischen Parameter bei der jeweiligen Online-Applikation hinterlegt werden.</li>
+ <li><a href="#konfigurationsparameter_oa_bku">BKU Konfiguration</a>: Soll f&uuml;r die Online-Applikation spezielle BKU Instanzen verwendet werden, so m&uuml;ssen diese f&uuml;r die Online-Applikation konfiguriert werden. Diese Konfiguration ist auf bei Verwendung von SAML1 als Authentifizierungsprotokoll erforderlich. N&auml;here Informationen finden Sie im jeweiligen Kapitel der Dokumentation.</li>
+ </ol>
+ </li>
+ <li> Wenn alle &Auml;nderungen und Anpassungen abgeschlossen wurden wird ein Neustart des Tomcat, welcher das Module MOA-ID-Auth beinhaltet, empfohlen. Nach dem erfolgreichen Neustart steht die Anmeldung an den registrierten Online-Applikationen bereits zur Verf&uuml;gung. Sollte das Module MOA-ID-Auth nicht erfolgreich starten, muss die Konfiguration, je nach gemeldetem Fehler, erg&auml;nzt oder ge&auml;ndert werden.</li>
+</ol>
+<h2><a name="import_template_" id="uebersicht_zentraledatei_Templates"></a>4 Templates</h2>
+<p>Dieser Abschnitt spezifiziert den Mindestaufbau der Templates f&uuml;r die BKU Auswahl, die Single Sign-On Anmeldeabfrage und die Security-Layer Request Templates welche vo Module MOA-ID-Auth verwendet werden. Alle hier beschriebenen Templates werden durch MOA-ID-Auth geladen, erweitert und gegebenfalls der Benutzerin oder dem Benutzer im Web-Browser dargestellt. Um einen korrekten Anmeldeprozess zu gew&auml;hrleisten m&uuml;ssen diese Templates mindestens folgende Formvorschriften und Strukturen aufweisen.</p>
+<h3><a name="import_template_bku" id="uebersicht_zentraledatei_aktualisierung6"></a>4.1 Bürgerkartenauswahl</h3>
+<p>Das BKU Template dient im Anmeldeprozess der Auswahl der gew&uuml;nschten B&uuml;rgerkatenumgebung oder Handy-Signature. Nach erfolgter Auswahl durch die Benutzer oder dem Benutzer wird diese an MOA-ID-Auth &uuml;bermittelt. </p>
+<p><strong>Hinweis:</strong> In der Datei <em>./htmlTemplates/loginFormFull.html</em> welcher sich relativ zur <a href="#uebersicht_bekanntmachung">MOA-ID-Auth Konfigurationsdatei</a> befindet finden Sie das Standard Template welches f&uuml;r den Anmeldevorgang verwendet wird, wenn kein online-applikationsspezifisches Template hinterlegt wurde. Dieses Standard Template unterst&uuml;tzt Responsive Design und passen sich somit in einem weiten Bereich an die aktuelle Fenstergr&ouml;&szlig;e an.</p>
+<p>F&uuml;r die &Uuml;bermittlung an MOA-ID-Auth ist ein http GET Request vorgesehen welcher folgende Parameter unterst&uuml;tzt. Die URL dieses http GET Request wird automatisiert &uuml;ber den Parameter &bdquo;#AUTH_URL#&ldquo; (ohne &bdquo;&ldquo;) eingetragen und muss nicht manuell hinterlegt werden. Folgende http GET Parameter werden f&uuml;r die BKU-Auswahl akzeptiert.</p>
+<table width="1201" border="1">
+ <tr>
+ <th width="167" scope="col">Name</th>
+ <th width="168" scope="col">Beispielwert</th>
+ <th width="57" scope="col">Optional</th>
+ <th width="781" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>bkuURI</td>
+ <td>online / handy / local</td>
+ <td align="center">&nbsp;</td>
+ <td><p>Ausgew&auml;hlte B&uuml;rgerkartenumgebung. F&uuml;r diesen Parameter stehen folgende Werte zur Verf&uuml;gung.
+ </p>
+ <ul>
+ <li>online : Online BKU</li>
+ <li>handy : Handy BKU</li>
+ <li>local : locale BKU</li>
+ </ul> </td>
+ </tr>
+ <tr>
+ <td>MOASessionID</td>
+ <td>#SESSIONID#</td>
+ <td align="center">&nbsp;</td>
+ <td>Internes SessionTokken. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingef&uuml;gt. Hierf&uuml;r MUSS jedoch der Parameterwert durch Platzhalter #SESSIONID# gekennzeichnet werden.</td>
+ </tr>
+ <tr>
+ <td>useMandate</td>
+ <td>true / false</td>
+ <td align="center">X</td>
+ <td>Kennzeichnet eine Anmeldung mittels Online-Vollmacht.</td>
+ </tr>
+ <tr>
+ <td>CCC</td>
+ <td>ES, SI, ...</td>
+ <td align="center">X</td>
+ <td>Anmeldung mittels STORK, wobei in diesem Fall der jeweilige L&auml;ndercode angegeben werden muss.</td>
+ </tr>
+ <tr>
+ <td>heigth</td>
+ <td>200</td>
+ <td align="center">X</td>
+ <td>H&ouml;he des Java Applets falls die Online-BKU gew&auml;hlt wurde. Die Konfiguration der H&ouml;he kann jedoch auch &uuml;ber die Konfiguration der Online-Applikation erfolgen. (siehe <a href="#konfigurationsparameter_oa_additional_formular">Kapitel 3.2.7.1</a>)</td>
+ </tr>
+ <tr>
+ <td>width</td>
+ <td>250</td>
+ <td align="center">X</td>
+ <td>Breite des Java Applets falls die Online-BKU gew&auml;hlt wurde. Die Konfiguration der Breite kann jedoch auch &uuml;ber die Konfiguration der Online-Applikation erfolgen. (siehe <a href="#konfigurationsparameter_oa_additional_formular">Kapitel 3.2.7.1</a>)</td>
+ </tr>
+</table>
+<p><br>
+Einige dieser Parameter werden jedoch nicht durch den Benutzer oder dem Service-Provider sondern durch das Modul MOA-ID-Auth im Rahmen des Anmeldeprozesses automatisiert, an im Template gekennzeichneten Stellen, eingetragen. Folgende Platzhalter stehen zur Verf&uuml;gung und werden von MOA-ID-Auth durch die jeweiligen Werte ersetzt. Alle nicht als Optional gekennzeichneten Platzhalter m&uuml;ssen durch MOA-ID-Auth ersetzt werden.</p>
+<table width="1198" border="1">
+ <tr>
+ <th width="167" scope="col">Name</th>
+ <th width="63" scope="col">Optional</th>
+ <th width="946" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>#AUTH_URL#</td>
+ <td>&nbsp;</td>
+ <td>Dieser Platzhalter wird durch die URL, an welche die BKU Auswahl gesendet wird ersetzt. </td>
+ </tr>
+ <tr>
+ <td>#SESSIONID#</td>
+ <td>&nbsp;</td>
+ <td>Dieser Platzhalter wird durch ein internes SessionTokken ersetzt, welches als GET Parameter wieder an MOA-ID-Auth &uuml;bergeben werden muss.</td>
+ </tr>
+ <tr>
+ <td>#LOCAL#</td>
+ <td align="center">X</td>
+ <td>Der Platzhalter wird durch den Parameterwert zur Auswahl der localen BKU erstetzt.</td>
+ </tr>
+ <tr>
+ <td>#ONLINE#</td>
+ <td align="center">X</td>
+ <td>Der Platzhalter wird durch den Parameterwert zur Auswahl der Online-BKU erstetzt.</td>
+ </tr>
+ <tr>
+ <td>#HANDY#</td>
+ <td align="center">X</td>
+ <td>Der Platzhalter wird durch den Parameterwert zur Auswahl der Handy-BKU erstetzt.</td>
+ </tr>
+</table>
+<p><br>
+ Die nachfolgenden Form zeigt ein Beispiel f&uuml;r den Aufbau des im BKU-Auswahl Template zu verwendeten http GET Request Templates f&uuml;r die lokale BKU.</p>
+<pre>&lt;form method=&quot;get&quot; id=&quot;moaidform&quot; action=&quot;#AUTH_URL#&quot;&gt;<br>
+ &nbsp;&nbsp;&nbsp; &lt;input type=&quot;hidden&quot; name=&quot;bkuURI&quot; value=&quot;#LOCAL#&quot;&gt; <br>
+ &nbsp;&nbsp;&nbsp; &lt;input type=&quot;hidden&quot; name=&quot;useMandate&quot; id=&quot;useMandate&quot;&gt; <br>
+ &nbsp;&nbsp;&nbsp; &lt;input type=&quot;hidden&quot; name=&quot;CCC&quot; id=&quot;ccc&quot;&gt; &lt;input type=&quot;hidden&quot;<br>
+ &nbsp;&nbsp;&nbsp; &lt;input type=&quot;hidden&quot; name=&quot;MOASessionID&quot; value=&quot;#SESSIONID#&quot;&gt;<br>
+ &nbsp;&nbsp;&nbsp;&nbsp; &lt;input type=&quot;submit&quot; value=&quot;&gt;lokale B&uuml;rgerkartenumgebung&quot;&gt;<br>
+&lt;/form&gt;
+</pre>
+<p>Als Beispiel f&uuml;r ein BKU-Auswahl Template steht auch das bei MOA-ID-Auth hinterlegte Standardtemplate zur Verf&uuml;gung. Dieses finden Sie <a href="../../htmlTemplates/BKU-selection.html">hier</a>. </p>
+<h3><a name="import_template_sso" id="uebersicht_zentraledatei_aktualisierung7"></a>4.2 Single Sign-On Anmeldeabfrage</h3>
+<p>Das Send-Assertion Template dient im Falle einer Anmeldung mittels Single Sign-On der Abfrage ob die Anmeldedaten an die betreffende Online Applikation &uuml;bertragen werden d&uuml;rfen. </p>
+<p><strong>Hinweis:</strong> In der Datei <em>./htmlTemplates/sendAssertionFormFull.html</em> welcher sich relativ zur <a href="#uebersicht_bekanntmachung">MOA-ID-Auth Konfigurationsdatei</a> befindet finden Sie das Standard Template welches f&uuml;r den Anmeldevorgang verwendet wird, wenn kein online-applikationsspezifisches Template hinterlegt wurde. Dieses Standard Template unterst&uuml;tzt Responsive Design und passen sich somit in einem weiten Bereich an die aktuelle Fenstergr&ouml;&szlig;e an.</p>
+<p>&Auml;hnlich dem Template f&uuml;r die B&uuml;rgerkartenauswahl m&uuml;ssen auch hierbei Formvorschriften und Strukturen im Aufbau des Templates eingehalten werden.<br>
+F&uuml;r die &Uuml;bermittlung an das Modul MOA-ID-Auth ist ein http POST Request vorgesehen welcher folgende Parameter unterst&uuml;tzt. Die URL, an welche dieser http POST Request gesendet werden muss, wird automatisiert &uuml;ber den Parameter &bdquo;#URL#&ldquo; (ohne &bdquo;&ldquo;) eingetragen und muss nicht manuell hinterlegt werden.</p>
+<table width="1201" border="1">
+ <tr>
+ <th width="167" scope="col">Name</th>
+ <th width="168" scope="col">Beispielwert</th>
+ <th width="57" scope="col">Optional</th>
+ <th width="781" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>mod</td>
+ <td>#MODUL#</td>
+ <td align="center">&nbsp;</td>
+ <td><p>Internes SessionTokken. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingef&uuml;gt. Hierf&uuml;r MUSS jedoch der Parameterwert durch Platzhalter #MODUL# gekennzeichnet werden.</p></td>
+ </tr>
+ <tr>
+ <td>action</td>
+ <td>#ACTION#</td>
+ <td align="center">&nbsp;</td>
+ <td>Internes SessionTokken. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingef&uuml;gt. Hierf&uuml;r MUSS jedoch der Parameterwert durch Platzhalter #ACTION# gekennzeichnet werden.</td>
+ </tr>
+ <tr>
+ <td>identifier</td>
+ <td>#ID#</td>
+ <td align="center">&nbsp;</td>
+ <td>Internes SessionTokken. Der Parameterwert wird durch MOA-ID-Auth automatisch in das Formular eingef&uuml;gt. Hierf&uuml;r MUSS jedoch der Parameterwert durch Platzhalter #ID# gekennzeichnet werden.</td>
+ </tr>
+ <tr>
+ <td>value</td>
+ <td>true / false</td>
+ <td align="center">&nbsp;</td>
+ <td>Antwort des Benutzers ob die Anmeldedaten an die Online-Applikation &uuml;bertragen werden d&uuml;rfen. Dementsprechend wird der Anmeldevorgang vorgesetzt oder abgebrochen und die Anmeldedaten oder eine Fehlermeldung &uuml;ber den Abbruch an die Online-Applikation &uuml;bermittelt.</td>
+ </tr>
+</table>
+<p><br>
+Einige dieser Parameter werden jedoch nicht durch den Benutzer oder dem Service-Provider sondern durch das Modul MOA-ID-Auth im Rahmen des Anmeldeprozesses automatisiert, an im Template gekennzeichneten Stellen, eingetragen. Folgende Platzhalter stehen zur Verf&uuml;gung und werden von MOA-ID-Auth durch die jeweiligen Werte ersetzt. Alle nicht als Optional gekennzeichneten Platzhalter m&uuml;ssen durch MOA-ID-Auth ersetzt werden.</p>
+<table width="1198" border="1">
+ <tr>
+ <th width="167" scope="col">Name</th>
+ <th width="63" scope="col">Optional</th>
+ <th width="946" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>#URL#</td>
+ <td>&nbsp;</td>
+ <td>Dieser Platzhalter wird durch die URL, an welche das Ergebnis der Single Sign-On Anmeldeabfrage gesendet wird ersetzt. </td>
+ </tr>
+ <tr>
+ <td>#MODUL#</td>
+ <td>&nbsp;</td>
+ <td>Dieser Platzhalter wird durch das verwendete Authentifizierungsprotokoll ersetzt, welches als GET Parameter wieder an MOA-ID-Auth &uuml;bergeben werden muss.</td>
+ </tr>
+ <tr>
+ <td>#ACTION#</td>
+ <td align="center">&nbsp;</td>
+ <td>Dieser Platzhalter wird durch einen Subtyp des verwendeten Authentifizierungsprotokolls, welches als GET Parameter wieder an MOA-ID-Auth &uuml;bergeben werden muss.</td>
+ </tr>
+ <tr>
+ <td>#ID#</td>
+ <td align="center">&nbsp;</td>
+ <td>Dieser Platzhalter wird durch ein internes SessionTokken ersetzt, welches als GET Parameter wieder an MOA-ID-Auth &uuml;bergeben werden muss.</td>
+ </tr>
+</table>
+<p><br>
+Die nachfolgenden Form zeigt ein Beispiel f&uuml;r den Aufbau des im BKU-Auswahl Template zu verwendeten http GET Request Templates f&uuml;r die lokale BKU.</p>
+<pre>&lt;form method=&quot;post&quot; id=&quot;moaidform_yes&quot; action=&quot;#URL#&quot;&gt;<br>
+ &nbsp;&nbsp;&nbsp; &lt;input type=&quot;hidden&quot; name=&quot;value&quot; value=&quot;true&quot;&gt;<br>
+ &nbsp;&nbsp;&nbsp; &lt;input type=&quot;hidden&quot; name=&quot;mod&quot; value=&quot;#MODUL#&quot;&gt;<br>
+ &nbsp;&nbsp;&nbsp; &lt;input type=&quot;hidden&quot; name=&quot;action&quot; value=&quot;#ACTION#&quot;&gt;<br>
+ &nbsp;&nbsp;&nbsp; &lt;input type=&quot;hidden&quot; name=&quot;identifier&quot; value=&quot;#ID#&quot;&gt;<br>
+ &nbsp;&nbsp;&nbsp; &lt;input type=&quot;submit&quot; size=&quot;400&quot; value=&quot;Ja&quot;&gt;<br>
+&lt;/form&gt;</pre>
+<p>Als Beispiel f&uuml;r ein Single Sign-On Anmeldeabfrage Template steht auch das bei MOA-ID-Auth hinterlegte Standardtemplate zur Verf&uuml;gung. Dieses finden Sie <a href="../../htmlTemplates/sendAssertion.html">hier</a>.</p>
+<h3><a name="import_template_sltemplate" id="uebersicht_zentraledatei_aktualisierung8"></a>4.3 Security-Layer Request</h3>
+<p>Das Security-Layer (SL) Request Template dient zur Kommunikation zwischen dem Modul MOA-ID-Auth und der gew&auml;hlten B&uuml;rgerkartenumgebung. Diese Kommunikation erfolgt &uuml;ber ein http Formular welches als http POST Request an die B&uuml;rgerkartenumgebung gesendet wird. Bei MOA-ID-Auth werden SL Templates mitgeliefert, wobei einige Template Parameter auch &uuml;ber das Konfigurationstool je Online-Applikation angepasst werden k&ouml;nnen (siehe <a href="#konfigurationsparameter_oa_additional_formular">Kapitel 3.2.7.1</a>).</p>
+<p>F&uuml;r den Fall dass individuelle Anpassungen am SL Template erforderlich sind m&uuml;ssen diese folgende Formvorschriften erf&uuml;llen.</p>
+<pre>&lt;form name=&quot;CustomizedForm&quot; action=&quot;&lt;BKU&gt;&quot; method=&quot;post&quot;&gt;
+ &lt;input type=&quot;hidden&quot; name=&quot;XMLRequest&quot; value=&quot;&lt;XMLRequest&gt;&quot;/&gt;
+ &lt;input type=&quot;hidden&quot; name=&quot;DataURL&quot; value=&quot;&lt;DataURL&gt;&quot;/&gt;
+ &lt;input type=&quot;hidden&quot; name=&quot;PushInfobox&quot; value=&quot;&lt;PushInfobox&gt;&quot;/&gt;
+ &lt;input type=&quot;submit&quot; value=&quot;Anmeldung mit B&uuml;rgerkarte&quot;/&gt;
+&lt;/form&gt;
+</pre>
+<p>Innerhalb dieser &lt;form&gt;-Elemente k&ouml;nnen Texte, Beschriftungen und Styles modifiziert werden, und es k&ouml;nnen zus&auml;tzliche Elemente darin aufgenommen werden. Die vorgegebene Grundstruktur ist aber in jedem Fall einzuhalten, und es m&uuml;ssen die speziellen Tags <em>&lt;BKU&gt;</em> (kommt 2x vor), <em>&lt;XMLRequest&gt;</em>, <em>&lt;DataURL&gt;</em> darin enthalten sein.</p>
+<table width="1198" border="1">
+ <tr>
+ <th width="167" scope="col">Name</th>
+ <th width="63" scope="col">Optional</th>
+ <th width="946" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>&lt;BKU&gt;</td>
+ <td>&nbsp;</td>
+ <td>Dieser Platzhalter wird durch die URL zur gew&auml;hlten B&uuml;rgerkartenumgebung ersetzt.. </td>
+ </tr>
+ <tr>
+ <td>&lt;XMLRequest&gt;</td>
+ <td>&nbsp;</td>
+ <td>Dieser Platzhalter wird durch den XML basierten Security-Layer Request ersetzt. Dieser XML Request enth&auml;lt die eigentliche Anfrage an die B&uuml;rgerkartenumgebung. N&auml;here Details zu diesem XML Request entnehmen Sie bitte der aktuellen <a href="#referenzierte_spezifikation">Security-Layer Spezifikation</a>.</td>
+ </tr>
+ <tr>
+ <td>&lt;DataURL&gt;</td>
+ <td align="center">&nbsp;</td>
+ <td>Dieser Platzhalter wird durch eine URL, welche einen eindeutigen, f&uuml;r jeden Auslesevorgang unterschiedlichen Identifier beinhaltet. Diese URL verweist auf ein Servlet, welches die Personenbindung entgegennimmt und in Folge eine Antwort darauf erzeugt.</td>
+ </tr>
+</table>
+<p>&nbsp;</p>
+<p>Folgende zus&auml;tzliche Tags zur Layout Anpassung (siehe <a href="#konfigurationsparameter_oa_additional_formular">Kapitel 3.2.7.1</a>) stehen optional zur Verf&uuml;gung und k&ouml;nnen &uuml;ber das SL Template an die B&uuml;rgerkartenumgebung &uuml;bergeben werden. Ein Beispiel f&uuml;r die Verwendung dieser zus&auml;tzlichen Tags finden Sie im beigelegten <a href="../../htmlTemplates/template_onlineBKU.html">SL Template</a>.</p>
+<table width="1198" border="1">
+ <tr>
+ <th width="167" scope="col">Name</th>
+ <th width="63" scope="col">Optional</th>
+ <th width="946" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td height="24">&lt;REDIRECTTARGET&gt;</td>
+ <td align="center">X</td>
+ <td>Mit diesem Tag wird der Parameter <em>Targetparameter </em>aus <a href="#konfigurationsparameter_oa_additional_formular">Kapitel 3.2.7.1</a> an die B&uuml;rgerkartenumgebung &uuml;bermittelt.</td>
+ </tr>
+ <tr>
+ <td>&lt;APPLETWIDTH&gt;</td>
+ <td align="center">X</td>
+ <td>Mit diesem Tag wird der Parameter <em>Appletbreite</em> aus <a href="#konfigurationsparameter_oa_additional_formular">Kapitel 3.2.7.1</a> an die B&uuml;rgerkartenumgebung &uuml;bermittelt.</td>
+ </tr>
+ <tr>
+ <td>&lt;APPLETHEIGHT&gt;</td>
+ <td align="center">X</td>
+ <td>Mit diesem Tag wird der Parameter <em>Appleth&ouml;he</em> aus <a href="#konfigurationsparameter_oa_additional_formular">Kapitel 3.2.7.1</a> an die B&uuml;rgerkartenumgebung &uuml;bermittelt.</td>
+ </tr>
+ <tr>
+ <td>&lt;COLOR&gt;</td>
+ <td align="center">X</td>
+ <td>Mit diesem Tag wird der Parameter <em>Hintergrundfarbe</em> aus <a href="#konfigurationsparameter_oa_additional_formular">Kapitel 3.2.7.1</a> an die B&uuml;rgerkartenumgebung &uuml;bermittelt.</td>
+ </tr>
+</table>
+<p>&nbsp;</p>
+<p><strong>Hinweis: </strong>Das in MOA-ID 1.5.1 verwendete Security-Layer Template ist kompatibel zu dem in MOA-ID 2.0 verwendeten Security-Layer Template. Jedoch stehen bei dem Template aus MOA-ID 1.5.1 die zus&auml;tzlichen Parameter zur Konfiguration mittels Konfigurationstool nicht zur Verf&uuml;gung.</p>
+<h1><a name="sp-config" id="sp-config">5 Konfiguration von MOA-SP</a></h1>
+<p>MOA-ID &uuml;berpr&uuml;ft die Signaturen der Personenbindung und des AUTH-Blocks mit dem VerifyXMLSignatureRequest von MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. <br>
+ <br>
+ <strong verifytransformsinfoprofile"="">VerifyTransformsInfoProfile</strong><br>
+ Der Request zum &uuml;berpr&uuml;fen der Signatur des AUTH-Blocks verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die im Request verwendete Profil-ID wird in der MOA-ID-Auth Konfiguration im Parameter <a href="#konfigurationsparameter_allgemein_moasp">Authentfizierungsblock Transformationen</a> definiert. Entsprechend muss am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung von MOA-ID in $MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlockTable_DE_2.0.xml enthalten. Diese Profildefinition muss unver&auml;ndert &uuml;bernommen werden. </p>
+<p id="trustProfile"> <strong>TrustProfile</strong><br>
+Die Requests zur &uuml;berpr&uuml;fung der Signatur verwenden vordefinierte TrustProfile. Die im Request verwendete Profil-IDs werden in der MOA-ID-Auth Konfiguration in den Parametern <a href="#konfigurationsparameter_allgemein_moasp">Personenbindung Trustprofil</a> und <a href="#konfigurationsparameter_allgemein_moasp">Authentfizierungsblock Trustprofil</a> definiert. Diese beiden Elemente k&ouml;nnen unterschiedliche oder identische TrustProfileIDs enthalten. Am MOA-SP Server m&uuml;ssen TrustProfile mit gleichlautender ID definiert werden. Die Auslieferung von MOA-ID enth&auml;lt das Verzeichnis $MOA_ID_INST_AUTH/conf/moa-spss/trustprofiles/MOAIDBuergerkarteRoot, das als TrustProfile verwendet werden kann. Weitere Zertifikate k&ouml;nnen als vertrauensw&uuml;rdig hinzugef&uuml;gt werden. </p>
+<p id="certstore"> <strong>Certstore</strong><br>
+Zum Aufbau eines Zertifikatspfades k&ouml;nnen ben&ouml;tigte Zertifikate aus einem Zertifikatsspeicher verwendet werden. Die Auslieferung von MOA-ID enth&auml;lt das Verzeichnis $MOA_ID_INST_AUTH/conf/moa-spss/certstore, das als initialer Zertifikatsspeicher verwendet werden kann. </p>
+<p>Hinweis: Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues Format f&uuml;r die XML-Konfigurationsdatei. F&uuml;r die Konvertierung einer &auml;lteren Konfigurationsdatei auf das neue Format steht Ihnen ein Tool zur Verf&uuml;gung. Details dazu finden sie in der der Distribution von MOA-SP/SS beiligenden Dokumentation im Kapitel 'Konfiguration', Abschnitt 1.2.1.</p>
+<h1><a name="security" id="security">6 Tomcat Security Manager</a></h1>
+<p>Apache Tomcat bietet die M&ouml;glichkeit den Server unter einem Security Manager zu betreiben. Damit ist es m&ouml;glich den lokalen Dateizugriff zu beschr&auml;nken. Mit Hilfe der Datei "catalina.policy" k&ouml;nnen so Zugriffe auf lokale Dateien und Verzeichnisse festgelegt werden. Eine beispielhafte catalina.policy Datei finden Sie im Verzeichnis $MOA_ID_INST_AUTH/tomcat. Diese Datei wurde unter Apache Tomcat 4.1.31, 5.0.28 und 5.5.27 getestet. </p>
+<p>Mehr Informationen zum Security Manager entnehmen Sie bitte der entsprechenden Apache Tomcat Dokumentation. </p>
+<p>&nbsp;</p>
+<h1><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h1>
+<table class="fixedWidth" border="1" cellpadding="2">
+ <tbody>
+ <tr>
+ <th>Spezifikation</th>
+ <th>Link</th>
+ </tr>
+ <tr id="sl">
+ <td><p>Security Layer Spezifikation V1.2.0</p></td>
+ <td><a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/">http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/</a></td>
+ </tr>
+ <tr>
+ <td>PVP 2.1 S-Profil Spezifikation</td>
+ <td><a href="http://reference.e-government.gv.at/uploads/media/PVP2-S-Profil_2_0_0_a-2011-08-31.pdf">http://reference.e-government.gv.at/uploads/media/PVP2-S-Profil_2_0_0_a-2011-08-31.pdf</a></td>
+ </tr>
+ <tr>
+ <td>OpenID Connect</td>
+ <td><a href="http://openid.net/connect/">http://openid.net/connect/</a></td>
+ </tr>
+ <tr>
+ <td>STORK 2</td>
+ <td>@TODO Link</td>
+ </tr>
+ <tr>
+ <td>Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0</td>
+ <td><a href="#http://docs.oasis-open.org/security/saml/v2.0/saml-metadata-2.0-os.pdf">http://docs.oasis-open.org/security/saml/v2.0/saml-metadata-2.0-os.pdf</a></td>
+ </tr>
+ <tr>
+ <td>Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0</td>
+ <td><a href="http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf">http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf</a></td>
+ </tr>
+ <tr>
+ <td>Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V1.1</td>
+ <td><a href="https://www.oasis-open.org/committees/download.php/3406/oasis-sstc-saml-core-1.1.pdf">https://www.oasis-open.org/committees/download.php/3406/oasis-sstc-saml-core-1.1.pdf</a></td>
+ </tr>
+ </tbody>
+</table>
+<p>&nbsp;</p>
<p>&nbsp;</p>
-<h2><a name="import_template_" id="uebersicht_zentraledatei_Templates"></a>3.4 Templates</h2>
-<h3><a name="import_template_bku" id="uebersicht_zentraledatei_aktualisierung6"></a>3.4.1 Bürgerkartenauswahl</h3>
-<h3><a name="import_template_sso" id="uebersicht_zentraledatei_aktualisierung7"></a>3.4.2 Single Sign-On Anmeldeabfrage</h3>
-<h3><a name="import_template_sltemplate" id="uebersicht_zentraledatei_aktualisierung8"></a>3.4.3 Security-Layer Request</h3>
</body>
</html>
diff --git a/id/server/doc/handbook/faq/faq.html b/id/server/doc/handbook/faq/faq.html
deleted file mode 100644
index 4e9ff77a3..000000000
--- a/id/server/doc/handbook/faq/faq.html
+++ /dev/null
@@ -1,125 +0,0 @@
-<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
-<html>
-<head>
- <meta http-equiv="content-type" content="text/html; charset=iso-8859-1">
- <title>MOA SS und SP - FAQ</title>
- <link rel="stylesheet" href="../common/MOA.css" type="text/css">
-</head>
-<body link="#990000">
- <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
- </table>
- <hr/>
- <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturpr&uuml;fung (SP)</a></p>
- <p class="subtitle">FAQ</p>
- <hr/>
- <h1>Inhalt</h1>
- <ol>
- <li>
- <p><a href="#allgemeines">Allgemeines</a></p>
- </li>
- <li>
- <p><a href="#uebersicht_fragen">&Uuml;bersicht der Fragen </a></p>
- </li>
- <li>
- <p><a href="#antworten">Antworten</a></p>
- </li>
- </ol>
-<hr/>
- <h1><a name="allgemeines"></a>1 Allgemeines</h1>
- <p> Dieses Dokument enth&auml;lt eine Reihe von h&auml;ufig gestellten Fragen zu Installation, Konfiguration und Verwendung von MOA Serversignatur (SS) und Signaturpr&uuml;fung (SP). </p>
- <h1><a name="uebersicht_fragen" id="uebersicht_fragen"></a>2 &Uuml;bersicht der Fragen </h1>
- <h2> Installation</h2>
- <ol>
- <li>Beim Starten von MOA SPSS tritt folgende Exception auf: <code>java.lang.ClassCastException: iaik.asn1.structures.Name</code>. Was kann der Fehler sein? [<a href="#installation_1">Zur Antwort</a>]</li>
- <li>Ich m&ouml;chte MOA SS/SP in einer Umgebung betreiben, die einen Internet-Zugang nur &uuml;ber einen Proxy erlaubt. Funktioniert das? [<a href="#installation_1">Zur Antwort</a>] </li>
- </ol>
- <h2>Konfiguration</h2>
- <ol>
- <li>Ich m&ouml;chte gerne die CRL-Archivierung von MOA verwenden, m&ouml;chte aber eine andere als die in der Konfiguration erw&auml;hnte postgreSQL-Datenbank verwenden. Geht das? [<a href="#konfiguration_1">Zur Antwort</a>]</li>
- <li>Ich m&ouml;chte ein Zertifikat (z.B. einer Zwischen-Zertifizierungsstelle) manuell in den internen Zertifikatsspeicher von MOA SP importieren. Wie funktioniert das? [<a href="#konfiguration_2">Zur Antwort</a>]</li>
- <li>Meine bestehende Konfigurationsdatei funktioniert mit MOA SP/SS 1.3 oder h&ouml;her nicht mehr. Was ist passiert?
- [<a href="#konfiguration_3">Zur Antwort</a>]</li>
- </ol>
- <h2>Verwendung</h2>
- <ol>
- <li>Bei der Pr&uuml;fung einer Signatur liefert die Pr&uuml;fung des Zertifikatsstatus den Code 1. Was kann der Fehler sein? [<a href="#verwendung_1">Zur Antwort</a>] </li>
- </ol>
- <h1><a name="antworten" id="antworten"></a>3 Antworten</h1>
- <h2>Installation</h2>
- <ol>
- <li class="faq"><div class="faq-question"><a name="installation_1"></a>Beim Starten von MOA SPSS tritt folgende Exception auf: <code>java.lang.ClassCastException: iaik.asn1.structures.Name</code>. Was kann der Fehler sein?</div>
- <p>Auf Grund einer mangelhaften Implementierung in einigen Versionen des JDK 1.3.1 kann es beim Betrieb von MOA zu folgendem Problem kommen: Sun macht in der Implementierung von <code>PKCS7.getCertificate()</code> einen Downcast vom Interface<code> java.security.Principal</code> auf die eigene Implementierung, was zu einer <span class="term">ClassCastException</span> f&uuml;hrt, wenn der JCE-Provider von Sun nicht an erster Stelle in der List der Security-Provider installiert ist. MOA geht nun aber so vor, dass der JCE-Provider des IAIK an die erste Stelle installiert wird, wenn er zum Zeitpunkt der Konfiguration noch nicht installiert war. Wird dann von irgendeinem ClassLoader der jar-Verifier ben&uuml;tzt, wird <code>PKCS7.getCertificate()</code> verwendet, und es kommt zu einer <span class="term">ClassCastException</span>. </p>
- <p>Wird MOA &uuml;ber die API-Schnittstelle verwendet, ist ein Workaround die manuelle Installation des IAIK-JCE-Providers nach dem Sun JCE-Provider (etwa an die letzte Stelle), bevor die MOA-Konfiguration aufgerufen wird. Bei Verwendung der Webservices ist die M&ouml;glichkeit der statischen Konfiguration der JCE-Provider mittels Angabe in der Datei <code>$JAVA_HOME/jre/lib/security/java.security</code> der einzige bekannte Workaround. Hierzu m&uuml;ssen die Eintr&auml;ge </p>
- <pre> security.provider.1=sun.security.provider.Sun
- security.provider.2=com.sun.rsajca.Provider </pre>
- <p>durch folgenden Eintrag erg&auml;nzt werden:</p>
- <pre>security.provider.3=iaik.security.provider.IAIK</pre>
- </li>
- <li class="faq">
- <div class="faq-question"><a name="installation_2" id="installation_2"></a>Ich m&ouml;chte MOA SS/SP in einer Umgebung betreiben, die einen Internet-Zugang nur &uuml;ber einen Proxy erlaubt. Funktioniert das?</div>
- <p>Ja, zumindest f&uuml;r Zugriffe &uuml;ber HTTP. Sie m&uuml;ssen dazu die nachfolgenden JAVA System-Properties setzen:</p>
- <pre>http.proxyHost=&lt;proxyhost&gt;
-http.proxyPort=&lt;proxyport&gt;
-http.nonProxyHosts=&quot;&lt;exceptionhosts&gt;&quot;</pre>
- <p><code>&lt;proxyhost&gt;</code> gibt den Namen oder die IP-Adresse des Proxies an.</p>
- <p><code>&lt;proxyport&gt;</code> gibt den Port des Proxies an.</p>
- <p><code>&lt;exceptionhosts&gt;</code> enth&auml;lt eine Liste von Rechnernamen, die nicht &uuml;ber den Proxy laufen sollen. Jedenfalls m&uuml;ssen sie hier <code>localhost</code> angeben. Einzelne Namen sind durch eine Pipe (<code>|</code>) zu trennen. Bitte beachten Sie, dass IP-Addressen nicht angegeben werden d&uuml;rfen, sowie die verpflichtend zu verwendenen Anf&uuml;hrungszeichen.<br>
- </p>
- </li>
- </ol>
- <h2>Konfiguration</h2>
- <ol>
- <li class="faq"><div class="faq-question"><a name="konfiguration_1" id="konfiguration_1"></a>Ich m&ouml;chte gerne die CRL-Archivierung von MOA verwenden, m&ouml;chte aber eine andere als die in der Konfiguration erw&auml;hnte postgreSQL-Datenbank verwenden. Geht das?</div>
- <p>Ja, das ist m&ouml;glich. Wenn Sie eine mySQL-Datenbank verwenden m&ouml;chten, sind folgende Ma&szlig;nahmen zu treffen:</p>
- <ul>
- <li><a href="http://www.mysql.com/downloads/api-jdbc.html">Laden</a> Sie den mySQL-JDBC-Connector herunter und f&uuml;gen Sie das im Download enthaltene jar-File <code>mysql-connector-java-3.x.x-stable-bin.jar</code> zum Klassenpfad f&uuml;r MOA SPSS hinzu.</li>
- <li>Geben Sie im MOA-Konfigurationsfile mit Hilfe des generischen Konfigurationsparameters <code>DataBaseArchiveParameter.JDBCUrl</code> eine g&uuml;ltige JDBC-URL zu Ihrer mySQL-Datenbank angeben. Hinweise zum Format dieser URL f&uuml;r mySQL finden Sie <a href="http://www.mysql.com/documentation/connector-j/index.html">hier</a>. </li>
- </ul>
- <p>Wenn Sie eine andere Datenbank verwenden m&ouml;chten, beispielsweise Oracle, gehen Sie sinngem&auml;&szlig; wie oben vor und setzen zus&auml;tzlich noch folgenden Schritt:</p>
- <ul>
- <li>Geben Sie im MOA-Konfigurationsfile mit Hilfe des generischen Konfigurationsparameters <code>DataBaseArchiveParameter.JDBCDriverClass</code> den vollst&auml;ndig qualifizierten Klassennamen des JDBC-Treibers an, der die Verbindung zu Ihrer Datenbank herstellt. </li>
- </ul>
- </li>
- <li class="faq">
- <div class="faq-question"><a name="konfiguration_2" id="konfiguration_2"></a>Ich m&ouml;chte ein Zertifikat (z.B. einer Zwischen-Zertifizierungsstelle) manuell in den internen Zertifikatsspeicher von MOA SP importieren. Wie funktioniert das?</div>
- <p>Sie k&ouml;nnen f&uuml;r diesen Zweck ein mit MOA SP/SS mitgeliefertes Kommandozeilen-Tool verwenden, das Sie im Verzeichnis <code>$MOA_SPSS_INST/tools</code> finden. Wechseln Sie zu diesem Verzeichnis und rufen Sie die Script-Datei <code>certtools.bat</code> bzw. <code>certtools.sh</code> (je nach Betriebssystem) auf. Achten Sie darauf, dass die Umgebungsvariable <code>$JAVA_HOME</code> korrekt gesetzt ist. Die Syntax f&uuml;r dieses Tool lautet:</p>
- <pre>certtool -add &lt;cert&gt; &lt;store&gt;</pre>
- <p><code>&lt;cert&gt;</code> bezeichnet dabei Pfad und Dateiname des zu importierenden X509-Zertifikats. Das Zertifikat muss DER-kodiert vorliegen.</p>
- <p><code>&lt;store&gt;</code> bezeichnet den Pfad des internen Zertifikatsspeichers von MOA SP. Wenn Sie nach der Installationsanleitung vorgegangen sind, lautet dieser Pfad <code>$CATALINA_HOME/conf/moa-spss/certstore</code>.</p>
- </li>
- <li class="faq">
- <div class="faq-question"><a name="konfiguration_3" id="konfiguration_3"></a>
- Meine bestehende Konfigurationsdatei
- funktioniert mit MOA SP/SS 1.3 oder h&ouml;her nicht mehr. Was ist passiert?</div>
- <p>Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues, &uuml;bersichtlicheres Format f&uuml;r die
- XML-Konfigurationsdatei. </p>
- <p>Wenn Sie von einer &auml;lteren Version von MOA SP/SS auf die Version 1.3 wechseln und Ihre bestehende
- Konfiguration beibehalten wollen, steht Ihnen ein einfaches Kommandozeilenwerkzeug zur Verf&uuml;gung, mit
- dem Sie Ihre Konfigurationsdatei vom bisherigen auf das neue Format migrieren k&ouml;nnen.</p>
- <p>Informationen zur Verwendung des Werkzeugs finden Sie in <a href="../config/config.html#&#252;bersicht_zentraledatei_aktualisierung">Abschnitt 1.2.1</a> des Konfigurationshandbuchs. </p>
- </li>
- </ol>
- <h2>Verwendung</h2>
- <ol>
- <li class="faq"><div class="faq-question"><a name="verwendung_1" id="verwendung_1"></a>Bei der Pr&uuml;fung einer Signatur liefert die Pr&uuml;fung des Zertifikatsstatus den Code 1. Was kann der Fehler sein? </div>
- <p>Dieser Fehlercode bedeutet: Es konnte keine formal korrekte Zertifikatskette vom Signatorzertifikat zu einem vertrauensw&uuml;rdigen Wurzelzertifikat konstruiert werden. Das kann grunds&auml;tzlich eine der beiden folgenden Ursachen haben:</p>
- <ul>
- <li>Keines der Zertifikate in der Kette vom Signatorzertifikat bis zu einem selbstsignierten Wurzelzertifikat ist im anzuwendenden <span class="term">TrustProfile</span> enthalten. </li>
- <li>Die Zertifikatskette konnte nicht bis zu einem im anzuwendenden <span class="term">TrustProfile</span> enthaltenen vertrauensw&uuml;rdigen Zertifikat gebildet werden. </li>
- </ul>
- <p>Pr&uuml;fen Sie also zun&auml;chst, ob sie im anzuwendenden <span class="term">TrustProfile</span> ein passendes vertrauensw&uuml;rdiges Zertifikat konfiguriert haben. Das kann beispielsweise das Zertifikat jener CA sein, die das Signatorzertifikat ausgestellt hat, oder aber auch das Zertifikat einer CA weiter oben in der Hierarchie des Zertifizierungsdiensteanbieters, beispielsweise das selbstsignierte Wurzelzertifikat.</p>
- <p>Wenn diese Pr&uuml;fung das Problem nicht behebt, gelingt des MOA SP vermutlich nicht, ein f&uuml;r die Bildung der Zertifikatskette notwendiges Zertifikat zu lokalisieren. M&ouml;gliche Gr&uuml;nde sowie L&ouml;sungsm&ouml;glichkeiten daf&uuml;r sind:</p>
- <ul>
- <li>Das aktuell letzte Zertifikat in der bereits gebildeten Zertifikatskette besitzt zwar die Zertifikatserweiterung <span class="term">AuthorityInformationAccess</span> mit einem Hinweis auf das n&auml;chste Zertifikat der zu bildenden Kette, das darin per URL referenzierte Zertifikat kann jedoch nicht geladen werden. Pr&uuml;fen Sie daher zun&auml;chst, ob MOA SP/SS per HTTP oder LDAP Zugriffe nach au&szlig;en t&auml;tigen darf. </li>
- <li>Das aktuell letzte Zertifikat in der bereits gebildeten Zertifikatskette besitzt keine Zertifikatserweiterung <span class="term">AuthorityInformationAccess</span> mit einem Hinweis auf das n&auml;chste Zertifikat der zu bildenden Kette, und auch im internen Zertifikatsspeicher von MOA SP ist das n&auml;chste Zertifikat nicht enthalten. Ist Ihnen das n&auml;chste Zertifikat bekannt (z.B. durch manuellen Download von der Webseite des Zertifizierungsdiensteanbieters), k&ouml;nnen Sie es manuell in den internen Zertifikatsspeicher importieren. Eine Anleitung dazu finden Sie <a href="#konfiguration_2">hier</a>. <br>
- </li>
- </ul>
- </li>
- </ol>
-</body>
-</html>
diff --git a/id/server/doc/handbook/index.html b/id/server/doc/handbook/index.html
index bbb037f8c..1a286f11a 100644
--- a/id/server/doc/handbook/index.html
+++ b/id/server/doc/handbook/index.html
@@ -1,7 +1,7 @@
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
- <meta http-equiv="content-type" content="text/html; charset=iso-8859-1">
+ <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" >
<title>MOA ID - &Uuml;bersicht</title>
<link rel="stylesheet" href="./common/MOA.css" type="text/css">
</head>
@@ -15,7 +15,7 @@
</table>
<hr/>
<p class="title">MOA-ID (Identifikation) </p>
- <p class="subtitle">&Uuml;bersicht zur Dokumentation der Version 2.0 </p>
+ <p class="subtitle">&Uuml;bersicht zur Dokumentation der Version 2.0.0 </p>
<hr/>
<dl>
<dt><a href="./intro/intro.html">Einf&uuml;hrung</a></dt>
@@ -26,10 +26,13 @@
<dd>Erl&auml;uterung aller Konfigurationsoptionen sowie Leitfaden f&uuml;r h&auml;ufige Konfigurationsaufgaben.</dd>
<dt><a href="./protocol/protocol.html">Protokolle</a></dt>
<dd>Erl&auml;uterung der unterst&uuml;tzen Authentifizierungsprotokolle.</dd>
- <dt><a href="./usage/usage.html">Anwendung</a></dt>
- <dd>Beispiele zur Verwendung der beiden Module.</dd>
- <dt><a href="./faq/faq.html">FAQ</a></dt>
- <dd>H&auml;ufig gestellte Fragen zu Installation, Konfiguration und Anwendung. </dd>
+ <dt><a href="./application/application.html">Anwendungen</a></dt>
+ <dd>Erl&auml;utert die Integration in bestehende Online-Applikationen und beschreibt die beigelegten Demo Applikationen</dd>
+ <dt><a href="./additional/additional.html">Zusatzinformationen</a></dt>
+ <dd>Spezifiziert allgemeine Funktionen des Modules MOA-ID-Auth</dd>
+ </dl>
+ <dl>
+ <dt>&nbsp;</dt>
</dl>
</body>
</html>
diff --git a/id/server/doc/handbook/install/install.html b/id/server/doc/handbook/install/install.html
index 5a1f5f2fe..fe73455d6 100644
--- a/id/server/doc/handbook/install/install.html
+++ b/id/server/doc/handbook/install/install.html
@@ -2,7 +2,7 @@
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=iso-8859-1">
- <title>MOA SS und SP - Installation</title>
+ <title>MOA-ID - Installation</title>
<link rel="stylesheet" href="../common/MOA.css" type="text/css">
</head>
<<body link="#990000">
@@ -10,7 +10,7 @@
<tr>
<td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
<td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
+ <td align="center" class="logoTitle" width="123">&nbsp;</td>
</tr>
</table>
<hr/>
@@ -20,10 +20,10 @@
<h1>Inhalt</h1>
<ol>
<li>
- <p><a href="#uebersicht">&Uuml;bersicht</a></p>
+ <p><a href="#uebersicht">&Uuml;bersicht</a><span class="logoTitle"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></span></p>
</li>
<li>
- <p><a href="#webservice">MOA-ID-Auth</a></p>
+ <p><a href="#webservice">MOA-ID-Auth und MOA-ID-Configuration</a></p>
<ol>
<li><a href="#webservice_basisinstallation">Basisinstallation</a>
<ol>
@@ -84,8 +84,8 @@
<h1><a name="uebersicht" id="uebersicht"></a>1 &Uuml;bersicht</h1>
<p>Die Module MOA-ID-Auth und MOA-ID-Configuration sind als plattformunabh&auml;ngige Module ausgelegt. MOA-ID-Auth bietet Webservices &uuml;ber HTTPS zur Identifizierung und Authentifizierung an. Das Modul MOA-ID-Configuration stellt eine Weboberfl&auml;che zur Konfiguration des MOA-ID-Auth Modules zur Verf&uuml;gung.</p>
<p>Dieses Handbuch beschreibt die Installation der beiden Module.</p>
-<h1><a name="webservice"></a>2 MOA-ID-Auth </h1>
- <p>Dieser Abschnitt beschreibt die Installation von MOA SP/SS als Webservice. Im ersten Unterkapitel wird eine minimale Basisinstallation beschrieben. Das zweite Unterkapitel zeigt eine Reihe von optionalen Erweiterungsm&ouml;glichkeiten auf.</p>
+<h1><a name="webservice"></a>2 MOA-ID-Auth und MOA-ID-Configuration</h1>
+ <p>Dieser Abschnitt beschreibt die Installation von der Module MOA-ID-Auth und MOA-ID-Configuration. Im ersten Unterkapitel wird eine minimale Basisinstallation beschrieben. Das zweite Unterkapitel zeigt eine Reihe von optionalen Erweiterungsm&ouml;glichkeiten auf.</p>
<h2><a name="webservice_basisinstallation" id="webservice_basisinstallation"></a>2.1 Basisinstallation</h2>
<h3><a name="webservice_basisinstallation_einfuehrung" id="webservice_basisinstallation_einfuehrung"></a>2.1.1 Einf&uuml;hrung </h3>
<p> Die Basisinstallation der Module MOA-ID-Auth und MOA-ID-Configuration stellt einerseits die minimalen Anforderungen f&uuml;r den Betrieb von MOA-ID dar, andererseits dient sie als Ausgangspunkt f&uuml;r optionale <a href="#webservice_erweiterungsmoeglichkeiten">Erweiterungsm&ouml;glichkeiten</a>.</p>
@@ -99,7 +99,7 @@
<li><a href="#referenziertesoftware">Java SE 6 (neuestes Update) bzw. Java SE Update SE 7 (neuestes Update)</a></li>
<li><a href="#referenziertesoftware">Apache Tomcat 7.0.50 bzw. Apache Tomcat 8.0.3</a></li>
</ul>
- <p>In diesem Betriebs-Szenario wird das MOA-ID-Auth Webservice und das MOA-ID Konfgurationstool in Tomcat zum Einsatz gebracht. Beide Module k&ouml;nnen sowohl in der selben Tomcat-Instanz, als auch in seperaten Tomcat-Instanzen betrieben werden. F&uuml;r den Fall des seperation Betriebs muss die Installation auf beiden Tomcat-Instanzen ausgef&uuml;hrt werden. In beiden F&auml;llen fungiert der Tomcat gleichzeitig als HTTP- und HTTPS-Endpunkt f&uuml;r beide Module. Beide Protokolle werden direkt in Tomcat konfiguriert, wobei MOA-ID-Auth und MOA-ID-Configuration Log4j als Logging Toolkit verwenden.</p>
+ <p>In diesem Betriebs-Szenario wird das MOA-ID-Auth Webservice und das MOA-ID Konfigurationstool in Tomcat zum Einsatz gebracht. Beide Module k&ouml;nnen sowohl in derselben Tomcat-Instanz, als auch in separaten Tomcat-Instanzen betrieben werden. F&uuml;r den Fall des separaten Betriebs muss die Installation auf beiden Tomcat-Instanzen ausgef&uuml;hrt werden. In beiden F&auml;llen fungiert der Tomcat gleichzeitig als HTTP- und HTTPS-Endpunkt f&uuml;r beide Module. Beide Protokolle werden direkt in Tomcat konfiguriert, wobei MOA-ID-Auth und MOA-ID-Configuration Log4j als Logging Toolkit verwenden.</p>
<h3><a name="webservice_basisinstallation_installation" id="webservice_basisinstallation_installation"></a>2.1.2 Installation</h3>
<h4><a name="webservice_basisinstallation_installation_vorbereitung" id="webservice_basisinstallation_installation_vorbereitung"></a>2.1.2.1 Vorbereitung</h4>
<p>Die folgenden Schritte dienen der Vorbereitung der Installation.</p>
@@ -118,9 +118,7 @@
Jurisdiction Policy Files</span> von der <a href="http://java.com/download" target="_blank">Java SE Downloadseite </a>und achten Sie darauf die f&uuml;r ihre verwendete Java SE Installation richtige Version zu nehmen. Anschlie&szlig;end folgen Sie der darin enthaltenen Installationsanweisung. </p>
</dd>
<dt>Installation einer Datenbank</dt>
- <dd>TODO: inmemory Database</dd>
- <dd>
- <p>&nbsp;</p>
+ <dd>F&uuml;r den Betrieb von MOA-ID 2.0 wird eine Datenbank ben&ouml;tigt, wobei mySQL als Datenbank empfohlen wird (wurde mit mySQL getestet). Der Einsatz eines alternativen Datenbanksystems ist jedoch ebenfalls m&ouml;glich. F&uuml;r den Betrieb werden mindestens zwei getrennte Datenbank Schema ben&ouml;tig, da die Konfiguration und die Session Informationen getrennt abgelegt werden. Erstellen Sie zwei Datenbank Schemas welche von MOA-ID-Auth verwendet werden sollen. Deren Namen k&ouml;nnen z.B. auf <em>moa-id-session</em> f&uuml;r Sessiondaten und <em>moa-id-config</em> f&uuml;r die Konfiguration lauten. Beliebige andere Namen f&uuml;r die Datenbank Schema sind jedoch auch m&ouml;glich.
</dd>
</dl>
<h4><a name="webservice_basisinstallation_installation_tomcatconfig" id="webservice_basisinstallation_installation_tomcatconfig"></a>2.1.2.2 Konfiguration von Apache Tomcat</h4>
@@ -129,7 +127,7 @@
<p>Die Tomcat Default-Konfiguration schaltet ausschlie&szlig;lich den Connector f&uuml;r HTTP auf Port 8080 frei. Wir empfehlen diese Konfiguration nur f&uuml;r F&auml;lle, in denen das MOA-ID-Configuration Modul in einer abgeschlossenen Netzwerkumgebung betrieben wird. Das Modul MOA-ID-Auth verlangt f&uuml;r Authentifizierunganfragen zwingend HTTPS.</p>
<h5><a name="webservice_basisinstallation_installation_tomcatconfig_httpsconn" id="webservice_basisinstallation_installation_tomcatconfig_httpsconn"></a>2.1.2.2.2 Konfiguration des HTTPS Connectors</h5>
<p>F&uuml;r den sicheren Betrieb von MOA-ID-AUTH ist die Verwendung von SSL Voraussetzung, sofern nicht ein vorgelagerter WebServer (Apache oder IIS) das SSL-Handling &uuml;bernimmt. Ebenso kann SSL auch f&uuml;r MOA-ID-Configuration verwendet werden.</p>
-<p>F&uuml;r die dazu notwendige Konfiguration kann die im vorigen Abschnitt besprochene minimale Tomcat-Konfiguration als Ausgangspunkt verwendet werden: Zun&auml;chst ist der HTTP Connector abzuschalten (auszukommentieren). Anschlie&szlig;end ist der HTTPS Connector zu konfigurieren. Das Dokument <a href="http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html">Tomcat SSL Configuration HOW-TO </a> gibt einen guten &Uuml;berblick dazu. Grob zusammengefasst sind folgende Schritte durchzuf&uuml;hren: </p>
+<p>F&uuml;r die dazu notwendige Konfiguration kann die im vorigen Abschnitt besprochene minimale Tomcat-Konfiguration als Ausgangspunkt verwendet werden: Zun&auml;chst ist der HTTP Connector abzuschalten (auskommentieren). Anschlie&szlig;end ist der HTTPS Connector zu konfigurieren. Das Dokument <a href="http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html">Tomcat SSL Configuration HOW-TO </a> gibt einen guten &Uuml;berblick dazu. Grob zusammengefasst sind folgende Schritte durchzuf&uuml;hren: </p>
<ul>
<li>Erstellung eines <span class="term">Server-Keystores</span>, der den privaten Schl&uuml;ssel sowie das zugeh&ouml;rige Zertifikat des Webservices enth&auml;lt, mit dem es sich bei Aufbau einer SSL-Verbindung gegen&uuml;ber dem Kunden ausweist sowie das dazugeh&ouml;rige Server-Zertifikat enth&auml;lt. Sie k&ouml;nnen diesen Keystore z.B. mit <code>keytool</code> erstellen, einem Programm, das Ihrer Java SE beiliegt.</li>
<li>Konfiguration des HTTPS Connectors in <code>$CATALINA_HOME/conf/server.xml</code>.</li>
@@ -140,15 +138,16 @@
<p> Um die Module MOA-ID-Auth und MOA-ID-Configuratuion in Tomcat f&uuml;r den Einsatz vorzubereiten, sind folgende Schritte notwendig:</p>
<ul>
<li>Die Datei <code>$MOA_ID_AUTH_INST/moa-id_auth.war</code> enth&auml;lt das einsatzfertige MOA-ID-Auth Webarchiv und muss ins Verzeichnis <code>$CATALINA_HOME/webapps</code> kopiert werden. Dort wird sie beim ersten Start von Tomcat automatisch ins Verzeichnis <code>$CATALINA_HOME/webapps/moa-id-auth</code> entpackt. </li>
- <li>Die Konfigurationsdatei mit der Basiskonfiguration f&uuml;r MOA-ID-Auth und die zugeh&ouml;rigen Verzeichnisse m&uuml;ssen in ein beliebiges Verzeichnis im Dateisystem kopiert werden (z.B. <code>$CATALINA_HOME/conf/moa-id</code>). Eine funktionsf&auml;hige Konfiguration, die als Ausgangspunkt f&uuml;r die Basiskonfiguration des MOA-ID-Auth Modules dienen kann, finden Sie <a href="../../conf/moa-id/moa_id.properties">hier</a>. <br>
+ <li>Die Konfigurationsdatei mit der Basiskonfiguration f&uuml;r MOA-ID-Auth und die zugeh&ouml;rigen Verzeichnisse m&uuml;ssen in ein beliebiges Verzeichnis im Dateisystem kopiert werden (z.B. <code>$CATALINA_HOME/conf/moa-id</code>). Eine funktionsf&auml;hige Konfiguration, die als Ausgangspunkt f&uuml;r die Basiskonfiguration des MOA-ID-Auth Modules dienen kann, finden Sie <a href="../../../conf/moa-id/moa-id.properties">hier</a>. <br>
</li>
<li> Die Dateien <code>xalan.jar</code>, <code>xercesImpl.jar, serializer.jar </code> und <code>xml-apis.jar</code> aus dem Verzeichnis <code>$MOA_ID_AUTH_INST/endorsed</code> m&uuml;ssen in das Tomcat-Verzeichnis <code>$CATALINA_HOME/endorsed</code> (bzw. <code>$CATALINA_HOME/common/endorsed</code> bis Apache Tomcat Version 5.5) kopiert werden. Sind gleichnamige Dateien dort bereits vorhanden, m&uuml;ssen sie &uuml;berschrieben werden. Die ggf. in diesem Verzeichnis vorhandene Datei <code>xmlParserAPIs.jar</code> muss gel&ouml;scht werden. Sollte das Verzeichnis <code>endorsed</code> nicht vorhanden sein, dann muss dieses zuerst erstellt werden.</li>
<li>Folgende <span class="term">System Properties</span> k&ouml;nnen gesetzt werden (wird beim Starten von Tomcat der <span class="term">Java Virtual Machine</span> in der Umgebungsvariablen <code>CATALINA_OPTS</code> in der Form <code>-D&lt;name&gt;=&lt;wert&gt;</code> &uuml;bergeben):
<ul>
<li id="klein"><code>moa.id.configuration</code>: Pfad und Name der Basiskonfigurationsdatei f&uuml;r MOA-ID-Auth. Eine beispielhafte Konfigurationsdatei fnden Sie <a href="../../../conf/moa-id/moa-id.properties">hier</a>. Wird ein relativer Pfad angegeben, wird dieser relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
- <li><code>moa.spss.server.configuration</code>: Pfad und Name der zentralen Konfigurationsdatei f&uuml;r MOA SP/SS. Eine beispielhafte Konfigurationsdatei finden Sie <a href="../../../conf/moa-spss/spss.config.xml">hier</a>. Wird ein relativer Pfad angegeben, wird dieser relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert. Ist diese <span class="term">System Property</span> nicht gesetzt, wird automatisch eine im Webarchiv unter <code>WEB-INF/conf</code> enthaltene Default-Konfiguration herangezogen.</li>
- <li id="klein"><code>log4j.configuration</code>: URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration finden Sie <a href="../../../conf/moa-spss/log4j.properties">hier</a>. Wird eine relative URL angegeben, wird diese als File-URL relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert. Ist diese <span class="term">System Property</span> nicht gesetzt, wird automatisch eine im Webarchiv unter <code>WEB-INF/classes</code> enthaltene Default-Konfiguration herangezogen.</li>
- <li id="klein"><code>javax.net.ssl.trustStore</code>: Pfad und Dateiname des <span class="term">Truststores</span> f&uuml;r vertrauensw&uuml;rdige SSL Client-Zertifikate (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). Ein relativer Pfad werden relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
+ <li><code>moa.spss.server.configuration</code>: Pfad und Name der zentralen Konfigurationsdatei f&uuml;r MOA SP/SS. Eine beispielhafte Konfigurationsdatei finden Sie <a href="../../../conf/moa-spss/SampleMOASPSSConfiguration.xml">hier</a>. Wird ein relativer Pfad angegeben, wird dieser relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert. Ist diese <span class="term">System Property</span> nicht gesetzt, wird automatisch eine im Webarchiv unter <code>WEB-INF/conf</code> enthaltene Default-Konfiguration herangezogen.</li>
+ <li><code>eu.stork.samlengine.config.location</code>: Pfad auf den Ordner mit den zentralen Konfigurationsdateien f&uuml;r STORK. Die Beispielkonfiguration f&uuml;r das Modul MOA-ID-Auth enth&auml;lt bereits den<a href="../../../conf/moa-id/stork/"> Ordner f&uuml;r die STORK Konfiguration</a>. </li>
+ <li id="klein"><code>log4j.configuration</code>: URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration finden Sie <a href="../../../conf/moa-id/log4j.properties">hier</a>. Wird eine relative URL angegeben, wird diese als File-URL relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert. Ist diese <span class="term">System Property</span> nicht gesetzt, wird automatisch eine im Webarchiv unter <code>WEB-INF/classes</code> enthaltene Default-Konfiguration herangezogen.</li>
+ <li id="klein"><code>javax.net.ssl.trustStore</code>: Pfad und Dateiname des <span class="term">Truststores</span> f&uuml;r vertrauensw&uuml;rdige SSL Zertifikate. Die SSL Serverzertifikate der Server von denen mittels https Dateien bezogen werden m&uuml;ssen im Truststore abgelegt werden. Ein relativer Pfad werden relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
<li id="klein"><code>javax.net.ssl.trustStorePassword</code>: Passwort f&uuml;r den <span class="term">Truststore</span> (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). </li>
<li id="klein"><code>javax.net.ssl.trustStoreType</code>: Truststore-Typ (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). Je nach verwendetem Keystore-Typ muss <code>jks</code> (<span class="term">Java Key Store</span>) oder <code>pkcs12</code> (PKCS#12-Datei) angegeben werden.</li>
</ul>
@@ -157,14 +156,14 @@
<h5><a name="moa_id_configuration_deploy" id="webservice_basisinstallation_installation_spssdeploy2"></a>2.1.2.4 Einsatz des Moduls MOA-ID-Configuration in Tomcat</h5>
<ul>
<li>Die Datei <code>$MOA_ID_AUTH_INST/moa-id_configuration.war</code> enth&auml;lt das einsatzfertige MOA-ID-Configuration Webarchiv und muss ins Verzeichnis <code>$CATALINA_HOME/webapps</code> kopiert werden. Dort wird sie beim ersten Start von Tomcat automatisch ins Verzeichnis <code>$CATALINA_HOME/webapps/moa-id-configuration</code> entpackt. </li>
- <li>Die Konfigurationsdatei mit der Basiskonfiguration f&uuml;r MOA-ID-Auth und die zugeh&ouml;rigen Verzeichnisse m&uuml;ssen in ein beliebiges Verzeichnis im Dateisystem kopiert werden (z.B. <code>$CATALINA_HOME/conf/moa-id-configuration</code>). Eine funktionsf&auml;hige Konfiguration, die als Ausgangspunkt f&uuml;r die Basiskonfiguration des MOA-ID-Auth Modules dienen kann, finden Sie <a href="../../conf/moa-id-configuration/moa-id-configtool.properties">hier</a>. <br>
+ <li>Die Konfigurationsdatei mit der Basiskonfiguration f&uuml;r MOA-ID-Auth und die zugeh&ouml;rigen Verzeichnisse m&uuml;ssen in ein beliebiges Verzeichnis im Dateisystem kopiert werden (z.B. <code>$CATALINA_HOME/conf/moa-id-configuration</code>). Eine funktionsf&auml;hige Konfiguration, die als Ausgangspunkt f&uuml;r die Basiskonfiguration des MOA-ID-Auth Modules dienen kann, finden Sie <a href="../../../conf/moa-id-configuration/moa-id-configtool.properties">hier</a>. <br>
</li>
<li> Die Dateien <code>xalan.jar</code>, <code>xercesImpl.jar, serializer.jar </code> und <code>xml-apis.jar</code> aus dem Verzeichnis <code>$MOA_ID_AUTH_INST/endorsed</code> m&uuml;ssen in das Tomcat-Verzeichnis <code>$CATALINA_HOME/endorsed</code> (bzw. <code>$CATALINA_HOME/common/endorsed</code> bis Apache Tomcat Version 5.5) kopiert werden. Sind gleichnamige Dateien dort bereits vorhanden, m&uuml;ssen sie &uuml;berschrieben werden. Die ggf. in diesem Verzeichnis vorhandene Datei <code>xmlParserAPIs.jar</code> muss gel&ouml;scht werden. Sollte das Verzeichnis <code>endorsed</code> nicht vorhanden sein, dann muss dieses zuerst erstellt werden.</li>
<li>Folgende <span class="term">System Properties</span> k&ouml;nnen gesetzt werden (wird beim Starten von Tomcat der <span class="term">Java Virtual Machine</span> in der Umgebungsvariablen <code>CATALINA_OPTS</code> in der Form <code>-D&lt;name&gt;=&lt;wert&gt;</code> &uuml;bergeben):
<ul>
- <li><code>moa.id.webconfig</code>: Pfad und Name der Basiskonfigurationsdatei f&uuml;r MOA-ID-Configuration. Eine beispielhafte Konfigurationsdatei fnden Sie <a href="../../conf/moa-id-configuration/moa-id-configtool.properties">hier</a>. Wird ein relativer Pfad angegeben, wird dieser relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
- <li><code>log4j.configuration</code>: URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration finden Sie <a href="../../../conf/moa-spss/log4j.properties">hier</a>. Wird eine relative URL angegeben, wird diese als File-URL relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert. Ist diese <span class="term">System Property</span> nicht gesetzt, wird automatisch eine im Webarchiv unter <code>WEB-INF/classes</code> enthaltene Default-Konfiguration herangezogen.</li>
- <li><code>javax.net.ssl.trustStore</code>: Pfad und Dateiname des <span class="term">Truststores</span> f&uuml;r vertrauensw&uuml;rdige SSL Client-Zertifikate (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). Ein relativer Pfad werden relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
+ <li><code>moa.id.webconfig</code>: Pfad und Name der Basiskonfigurationsdatei f&uuml;r MOA-ID-Configuration. Eine beispielhafte Konfigurationsdatei fnden Sie <a href="../../../conf/moa-id-configuration/moa-id-configtool.properties">hier</a>. Wird ein relativer Pfad angegeben, wird dieser relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
+ <li><code>log4j.configuration</code>: URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration finden Sie <a href="../../../conf/moa-id/log4j.properties">hier</a>. Wird eine relative URL angegeben, wird diese als File-URL relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert. Ist diese <span class="term">System Property</span> nicht gesetzt, wird automatisch eine im Webarchiv unter <code>WEB-INF/classes</code> enthaltene Default-Konfiguration herangezogen.</li>
+ <li><code>javax.net.ssl.trustStore</code>: Pfad und Dateiname des <span class="term">Truststores</span> f&uuml;r vertrauensw&uuml;rdige SSL Zertifikate Die SSL Serverzertifikate der Server von denen mittels https Dateien bezogen werden m&uuml;ssen im Truststore abgelegt werden. Ein relativer Pfad werden relativ zum Startverzeichnis der <span class="term">Java Virtual Machine</span> interpretiert.</li>
<li><code>javax.net.ssl.trustStorePassword</code>: Passwort f&uuml;r den <span class="term">Truststore</span> (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). </li>
<li><code>javax.net.ssl.trustStoreType</code>: Truststore-Typ (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). Je nach verwendetem Keystore-Typ muss <code>jks</code> (<span class="term">Java Key Store</span>) oder <code>pkcs12</code> (PKCS#12-Datei) angegeben werden.</li>
</ul>
@@ -176,7 +175,7 @@
<p>Das Verzeichnis <code>$MOA_IA_AUTH_INST/tomcat/win32</code> enth&auml;lt Script-Dateien zum Starten und Stoppen von Tomcat. Vor der erstmaligen Verwendung der Scripts m&uuml;ssen in den ersten Zeilen die Umgebungsvariablen <code>JAVA_HOME</code> (Basisverzeichnis der eingesetzten Java SE) und <code>CATALINA_HOME</code> (Basisverzeichnis der eingesetzten Tomcat-Installation) angepasst werden. Evtl. m&uuml;ssen Sie auch noch die in den Script-Dateien gesetzten, in Abschnitt 2.1.2.3 besprochenen <span class="term">System Properties</span> anpassen. </p>
</div>
<h5><a name="webservice_basisinstallation_installation_tomcatstartstop_unix" id="webservice_basisinstallation_installation_tomcatstartstop_unix"></a>2.1.2.4.2 Unter Unix</h5>
-<p>Zun&auml;chst m&uuml;ssen die in Abschnitt 2.1.2.3 besprochenen <span class="term">System Properties</span> mit Hilfe der Umgebungsvariablen <code>CATALINA_OPTS</code> gesetzt sein. Die Datei <code>$MOA_ID_AUTH_INST/tomcat/unix/moa-env.sh</code> enth&auml;lt ein Beispiel daf&uuml;r. Weiters m&uuml;ssen noch die Umgebungsvariablen <code>JAVA_HOME</code> (Basisverzeichnis der eingesetzten Java SE) und <code>CATALINA_HOME</code> (Basisverzeichnis der eingesetzten Tomcat-Installation) angepasst werden.</p>
+<p>Zun&auml;chst m&uuml;ssen die in Abschnitt 2.1.2.3 besprochenen <span class="term">System Properties</span> mit Hilfe der Umgebungsvariablen <code>CATALINA_OPTS</code> gesetzt sein. Die Datei <code>$MOA_ID_AUTH_INST/tomcat/unix/moa-env.sh</code> enth&auml;lt ein Beispiel daf&uuml;r. Des weiteren m&uuml;ssen noch die Umgebungsvariablen <code>JAVA_HOME</code> (Basisverzeichnis der eingesetzten Java SE) und <code>CATALINA_HOME</code> (Basisverzeichnis der eingesetzten Tomcat-Installation) angepasst werden.</p>
<p>Nun kann Tomcat aus seinem Basisverzeichnis mit </p>
<pre>bin/catalina.sh start</pre>
gestartet werden. Das Stoppen von Tomcat erfolgt analog mit
@@ -189,9 +188,9 @@ gestartet werden. Das Stoppen von Tomcat erfolgt analog mit
<pre>32131 [localhost-startStop-1] INFO moa.id.auth - MOA ID Authentisierung wurde erfolgreich gestartet
32131 [localhost-startStop-1] INFO moa.id.auth - Dispatcher Servlet initialization finished.</pre>
<p>Analog bei MOA-ID-Configuration</p>
-<p>TODO:</p>
+<pre>INFO at.gv.egovernment.moa.id.configuration.config.ConfigurationProvider - MOA-ID-Configuration initialization completed</pre>
<p>Bei leichten Fehlern in der Konfiguration geben <code>WARN</code> Log-Meldungen unmittelbar davor Aufschluss &uuml;ber fehlerhafte Konfigurations-Eintr&auml;ge.
- Nach dem Starten von Tomcat stehen MOA-ID-Auth und MOA-ID-Configuration zur Verf&uuml;gung. Die Einsprungpunkte der unterschiedlichen Authentifizierungsprotokolle von MOA-ID-Auth werden im Abschnitt <a href="./protocol/protocol.html">Protokolle</a> im Detail beschrieben.</p>
+ Nach dem Starten von Tomcat stehen MOA-ID-Auth und MOA-ID-Configuration zur Verf&uuml;gung. Die Einsprungpunkte der unterschiedlichen Authentifizierungsprotokolle von MOA-ID-Auth werden im Abschnitt <a href="../protocol/protocol.html">Protokolle</a> im Detail beschrieben.</p>
<pre>
http://&lt;host&gt;:&lt;port&gt;/moa-id-auth/
http://&lt;host&gt;:&lt;port&gt;/moa-id-configuration/</pre>
@@ -229,8 +228,7 @@ https://&lt;host&gt;:&lt;port&gt;/moa-id-configuration/</pre>
</ul>
<p>Eine f&uuml;r beide Module passende Konfigurationsdatei f&uuml;r Log4j finden Sie <a href="../../../conf/moa-spss/log4j.properties">hier</a>. Wird diese Datei als Logging-Konfiguration verwendet, so werden alle Log-Meldungen sowohl in die Konsole, als auch in die Dateien <code>moa-id-auth.log</code> und <code>moa-id-configuration.log</code> geschrieben. </p>
<h4><a name="webservice_basisinstallation_logging_format" id="webservice_basisinstallation_logging_format"></a>2.1.3.1 Format der Log-Meldungen</h4>
- <p> Anhand einer konkreten Log-Meldung wird das Format der MOA SP/SS Log-Meldungen erl&auml;utert: </p>
- <p>TODO:</p>
+ <p> Anhand einer konkreten Log-Meldung wird das Format der MOA SP/SS Log-Meldungen erl&auml;utert: </p>
<pre>
INFO | 01 21:25:26,540 | Thread-3 | TID=1049225059594-100 NID=node1
MSG=Starte neue Transaktion: TID=1049225059594-100, Service=SignatureVerification
diff --git a/id/server/doc/handbook/intro/anmeldeablauf.png b/id/server/doc/handbook/intro/anmeldeablauf.png
index e7d1ea042..a6af21c5f 100644
--- a/id/server/doc/handbook/intro/anmeldeablauf.png
+++ b/id/server/doc/handbook/intro/anmeldeablauf.png
Binary files differ
diff --git a/id/server/doc/handbook/intro/intro.html b/id/server/doc/handbook/intro/intro.html
index 3f5b1b7c7..ffa3c37a4 100644
--- a/id/server/doc/handbook/intro/intro.html
+++ b/id/server/doc/handbook/intro/intro.html
@@ -1,8 +1,8 @@
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
- <meta http-equiv="content-type" content="text/html; charset=iso-8859-1">
- <title>MOA SS und SP - Einf&uuml;hrung</title>
+ <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" >
+ <title>MOA-ID - Einf&uuml;hrung</title>
<link rel="stylesheet" href="../common/MOA.css" type="text/css">
</head>
<body link="#990000">
@@ -19,8 +19,16 @@
<hr/>
<h1>Inhalt</h1>
<ol>
- <li><a href="#allgemeines">Allgemeines</a></li>
- <li><a href="#ss">MOA-ID-Auth </a></li>
+ <li><a href="#allgemeines">Allgemeines</a>
+ <ol>
+ <li><a href="#allgemeines_service">Externe Services</a></li>
+ </ol>
+ </li>
+ <li><a href="#ss">MOA-ID-Auth </a>
+ <ol>
+ <li><a href="#ablauf">Ablauf einer Anmeldung</a></li>
+ </ol>
+ </li>
<li><a href="#sp">MOA-ID-Configuration</a></li>
</ol>
<hr/>
@@ -32,7 +40,7 @@
<p>MOA-ID besteht aus folgenden Kernkomponenten:</p>
<ol>
<li><u>CORE LOGIC</u>: Diese Komponente ist die zentrale Logik zur Steuerung der einzelnen Prozesse innerhalb MOA-ID 2.x.</li>
- <li><u>Protocol Adapter</u>: Stellt die in MOA-ID 2.x unterst&uuml;tzten <a href="./protocol/protocol.html">Authentifizierungsprotokolle</a> f&uuml;r die Anbindung von Service Providern zur Verf&uuml;gung.</li>
+ <li><u>Protocol Adapter</u>: Stellt die in MOA-ID 2.x unterst&uuml;tzten <a href="../protocol/protocol.html">Authentifizierungsprotokolle</a> f&uuml;r die Anbindung von Service Providern zur Verf&uuml;gung.</li>
<li><u>Auth Sources</u>: Stellt die von MOA-ID 2.x unterst&uuml;tzte Identifikationsmechanismen zur Verf&uuml;gung. Dies sind die &ouml;sterreichische B&uuml;rgerkarte oder Handy-Signatur sowie die Anmeldung ausl&auml;ndischer Personen mit Hilfe des STORK Protokoll.</li>
<li><u>Template Generator</u>: Der Template Generator erzeugt f&uuml;r Service Provider die entsprechenden Login-Masken f&uuml;r die Integration in die eigene Web-Applikation.</li>
<li><u>SSO Module</u>: Das Single Sign-On (SSO) Modul verwaltet die zus&auml;tzlichen Operationen die sich aus der Umsetzung von SSO ergeben. Dies umfasst im Besonderen das SSO Session-Management.</li>
@@ -41,17 +49,17 @@
<li><u>Configuration</u><u> Modul</u>: Dieses Modul stellt die Schnittstelle zur MOA-ID-Auth Konfiguration dar welche in einer Datenbank abgelegt wird. </li>
<li><u>Konfigurationstool</u>: Oberfl&auml;che, mit deren Hilfe MOA-ID konfiguriert werden kann. Dies umfasst sowohl allgemeine Konfigurationsteile als auch die Konfiguration der einzelnen bei MOA-ID-Auth registrierten Online-Applikationen. Service Provider k&ouml;nnen sich am Konfigurationstool mittels B&uuml;rgerkarte oder Handy-Signatur anmelden und ihre Online-Applikationen verwalten.</li>
</ol>
- <h2>1.1 Externe Services</h2>
- <p>F&uuml;r die Anmeldung in Vertretung und die Anmeldung ausl&auml;ndischer Personen werden zus&auml;tzliche externe Services verwendet.</p>
- <h3>1.1.1 Online-Vollmachten</h3>
- <p>Ab der MOA-ID Release 1.5.0 werden Online-Vollmachten (f&uuml;r Anwendungen aus dem &ouml;ffentlichen Bereich) unterst&uuml;tzt. Hierzu werden diese Vollmachten &uuml;ber eine Online-Vollmachten-Service ausgew&auml;hlt. Der Zugang zu diesem Online-Vollmachten Service ist &uuml;ber eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p>
- <h3>1.1.2 Ausl&auml;ndische B&uuml;rger</h3>
+ <h2><a name="allgemeines_service" id="allgemeines_service"></a>1.1 Externe Services</h2>
+<p>F&uuml;r die Anmeldung in Vertretung und die Anmeldung ausl&auml;ndischer Personen werden zus&auml;tzliche externe Services verwendet.</p>
+ <h3><a name="allgemeines_service_ovs" id="allgemeines_service2"></a>1.1.1 Online-Vollmachten</h3>
+<p>Ab der MOA-ID Release 1.5.0 werden Online-Vollmachten (f&uuml;r Anwendungen aus dem &ouml;ffentlichen Bereich) unterst&uuml;tzt. Hierzu werden diese Vollmachten &uuml;ber eine Online-Vollmachten-Service ausgew&auml;hlt. Der Zugang zu diesem Online-Vollmachten Service ist &uuml;ber eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p>
+ <h3><a name="allgemeines_service_szrgw" id="allgemeines_service3"></a>1.1.2 Ausl&auml;ndische B&uuml;rger</h3>
<p> Ab der MOA-ID Release 1.4.7 ist es m&ouml;glich, dass sich auch ausl&auml;ndische B&uuml;rger mittels MOA-ID einloggen k&ouml;nnen. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausl&auml;ndischen B&uuml;rgers eine Eintragung im Erg&auml;nzungsregister f&uuml;r nat&uuml;rliche Personen gem&auml;&szlig; E-Government Gesetz &sect;6(5) vornimmt. Somit ist es m&ouml;glich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird. Der Zugang zu diesem Stammzahlenregister-Gateway ist &uuml;ber eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p>
-<h1><a name="ss"></a>2 MOA-ID-Auth</h1>
-<p>Das Modul MOA-ID-Auth dient der Identifizierung und Authentifizierung im Rahmen eines Anmeldevorgangs an einer Online-Applikation. Die Identifizierung und Authentifizierzung erfolgt mit B&uuml;rgerkartem, Handy-Signatur oder f&uuml;r aus&auml;ndische Personen mittels STORK.</p>
-<p>Die Funktionalit&auml;t und der Aufbau der Schnittstellen des Modules MOA-ID-Auth in Richtung Online-Applikation wird im Kapitel <a href="./protocol/protocol.html">Protokolle</a> beschriebe. Detailinformationen zu allen internen Schnittstellen von MOA-ID-Auth sind in der <a href="specification/moa-id-auth.pdf">Spezifikation</a> enthalten.</p>
+<h1><a name="moaidauth" id="moaidauth"></a>2 MOA-ID-Auth</h1>
+<p>Das Modul MOA-ID-Auth dient der Identifizierung und Authentifizierung im Rahmen eines Anmeldevorgangs an einer Online-Applikation. Die Identifizierung und Authentifizierung erfolgt mit B&uuml;rgerkartem, Handy-Signatur oder f&uuml;r aus&auml;ndische Personen mittels STORK.</p>
+<p>Die Funktionalit&auml;t und der Aufbau der Schnittstellen des Modules MOA-ID-Auth in Richtung Online-Applikation wird im Kapitel <a href="../protocol/protocol.html">Protokolle</a> beschriebe.
<p>F&uuml;r den Betrieb von MOA-ID-Auth ist der Einsatz von MOA-Signaturpr&uuml;fung (MOA-SP) erforderlich.</p>
-<h2>2.1 Ablauf einer Anmeldung</h2>
+<h2><a name="ablauf" id="ablauf"></a> 2.1 Ablauf einer Anmeldung</h2>
<p>Die nachfolgende Grafik beschreibt den Ablauf eines Abmeldevorgangs an einer Online-Applikation mit Hilfe von MOA-ID-Auth unter Verwendung der B&uuml;rgerkarte oder der Handy-Signatur.</p>
<p><img src="anmeldeablauf.png" width="947" height="881" alt="Sequenzdiagramm eines Anmeldevorgangs mit MOA-ID-Auth"></p>
<p>&nbsp;</p>
@@ -62,10 +70,10 @@
<li>MOA-ID-Auth bietet dem Benutzer eine Auswahl von verf&uuml;gbaren Authentifizierungsmethoden (B&uuml;rgerkarte, Handy-Signatur, STORK) an.</li>
<li>Der Benutzer w&auml;hlt die gew&uuml;nschte Authentifizierungsmethode und sendet diese an MOA-ID-Auth.</li>
<li>MOA-ID-AUTH erzeugt eine HTML-Seite mit einem &lt;InfoboxReadRequest&gt; zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.</li>
- <li>Der Browser schickt den &lt;InfoboxReadRequest&gt; an den ausgew&auml;hlten Security-Layer. Der Security-Layer liest die Personenbindung von der B&uuml;rgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch einen Aufruf von MOA-SP &uuml;berpr&uuml;ft.</li>
- <li>MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enth&auml;lt Vor- und Nachname aus der Personenbindung, URL von MOA-ID-AUTH, URL und Gesch&auml;ftsbereich der Online-Applikation oder im Falle einer SSO Anmeldung die URL und den Gesch&auml;ftsbereich der MOA-ID-Auth Instanz, die aktuelle Zeit, das aktuelle Datum und einen Zufallswert f&uuml;r diesen Anmeldevorgang. Anschlie&szlig;end wird eine XML Antwortseite, die das Kommando zum Signieren (&lt;CreateXMLSignatureRequest&gt;) des generierten AUTH-Blocks enth&auml;lt, an den ausgew&auml;hlten Security-Layer gesendet.</li>
- <li>Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an MOA-ID-AUTH zur&uuml;ckgesendet.</li>
- <li>MOA-ID-Auth &uuml;berpr&uuml;ft den signierten AUTH-Block und generiert Information f&uuml;r die Single Sign-On.</li>
+ <li>Der Browser schickt den &lt;InfoboxReadRequest&gt; an die ausgew&auml;hlte Bürgerkartenumgebung unter Verwendung des Security-Layer. Die Bürgerkartenumgebung liest die Personenbindung von der B&uuml;rgerkarte und sendet diese an MOA-ID-AUTH. MOA-ID-Auth prüft die Signatur der Personenbindung durch einen Aufruf von MOA-SP.</li>
+ <li>MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enth&auml;lt Vor- und Nachname aus der Personenbindung, URL von MOA-ID-AUTH, URL und Gesch&auml;ftsbereich der Online-Applikation oder im Falle einer SSO Anmeldung die URL und den Gesch&auml;ftsbereich der MOA-ID-Auth Instanz, die aktuelle Zeit, das aktuelle Datum und einen Zufallswert f&uuml;r diesen Anmeldevorgang. Anschlie&szlig;end wird eine XML Antwortseite, die das Kommando zum Signieren (&lt;CreateXMLSignatureRequest&gt;) des generierten AUTH-Blocks enth&auml;lt, an die ausgew&auml;hlte Bürgerkartenumgebung, unter Verwendung des Security-Layers, gesendet.</li>
+ <li>Der Request wird von der Bürgerkartenumgebung verarbeitet. Die signierten Daten werden an MOA-ID-AUTH zur&uuml;ckgesendet.</li>
+ <li>MOA-ID-Auth &uuml;berpr&uuml;ft den signierten AUTH-Block und generiert Information f&uuml;r weitere Anmeldungen mittels Single Sign-On.</li>
<li>MOA-ID-Auth generiert die Anmeldedaten (Assertion) welche folgende Information enthalten:
<ul>
<li>die bereichsspezifischen Personenkennzeichen (bPK / wbPK)</li>
@@ -81,8 +89,8 @@
<li> MOA-ID-Auth sendet die Anmeldedaten an den Service-Provider und setzt im Browser des Benutzers ein SSO Session-Tokken welches f&uuml;r weitere Anmeldevorg&auml;nge verwendet werden kann.</li>
<li>Die Anmeldedaten werden vom Service-Provider verarbeitet und der Benutzer wird vom Service-Provider an die Online-Applikation weitergeleitet. </li>
</ol>
-<h1><a name="sp"></a>3 MOA-ID-Configuration </h1>
-<p>Das Modul MOA-ID-Configuration stellt eine web-basierte Benutzerschnittstelle zur Konfiguration einer MOA-ID-Auth Instanz zur Verf&uuml;gung, wobei sich die Konfiguration in zwei Teilbereiche einteilen l&auml;sst. Eine detailierte Aufstellung der einzelnen Konfigurationspunkte befindet sich im Kapitel <a href="./config/config.html">Konfiguration</a>.</p>
+<h1><a name="config" id="config"></a>3 MOA-ID-Configuration </h1>
+<p>Das Modul MOA-ID-Configuration stellt eine web-basierte Benutzerschnittstelle zur Konfiguration des Moduls MOA-ID-Auth zur Verf&uuml;gung, wobei sich die Konfiguration in zwei Teilbereiche unterteilt ist. Eine detailierte Aufstellung der einzelnen Konfigurationspunkte befindet sich im Kapitel <a href="../config/config.html">Konfiguration</a>.</p>
<ol>
<li>Allgemeine Konfiguration<br>
In diesem Bereich sind alle Basiseinstellungen der MOA-ID-Auth Instanz hinterlegt. Beispiele hierf&uuml;r sind Single Sign-On, unterst&uuml;tze Authentifizierungsprotokolle, Informationen zu MOA-ID-Auth, URLs zu externen Services, ... Eine &Auml;nderung der Basiseinstellung erfordert besondere Benutzerrechte am Konfigurationstool.</li>
diff --git a/id/server/doc/handbook/protocol/Assertion.xml b/id/server/doc/handbook/protocol/Assertion.xml
new file mode 100644
index 000000000..b6db5f088
--- /dev/null
+++ b/id/server/doc/handbook/protocol/Assertion.xml
@@ -0,0 +1,81 @@
+<?xml version="1.0" encoding="UTF-8"?>
+<saml2p:Response xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" Destination="https://demo.egiz.gv.at/demoportal_demologin/securearea.action" InResponseTo="_aeebfae3ce681fe3ddcaf213a42f01d3" IssueInstant="2014-03-05T06:39:51.017Z" Version="2.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
+ <saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://demo.egiz.gv.at/demoportal_moaid-2.0</saml2:Issuer>
+ <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
+ <ds:SignedInfo>
+ <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
+ <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
+ <ds:Reference URI="">
+ <ds:Transforms>
+ <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
+ <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
+ <ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="xs"/>
+ </ds:Transform>
+ </ds:Transforms>
+ <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
+ <ds:DigestValue>fCE31ZeXZybQLOuNQBePLjFrCtKdvCmeyJ1tUW/ghtA=</ds:DigestValue>
+ </ds:Reference>
+ </ds:SignedInfo>
+ <ds:SignatureValue>vUFR3YPk5wiBJnrLh6Er7V46FNDMuB5Jcu73Rw7tipgr+bnV0reRNcZ5TGT+VMjNhtKJMcqgjrQWJ6tACe1r0mzhpRSVQkw7yFkTvIhQHX1a08yqJ4yy3qiN13ctDo4VgP9qHUim7b797oOKNhRXFk+2GJA5hRcpRliUjhBlzTYrxpkY5NcYDRhDPlvMx+l11oa1iDGuAylN+ty4h3P4fIoIgL9Tz1m3l65LqkV5RBc6avSeHw9OASMigPsjd5b0IBvhvJ611xLgzC1BOtJshiw1k/p8alv8TaUmYZ/kJbRN1tuTBL129edbS0Rz0faT0tniF42QHteJ214brK3rCg==</ds:SignatureValue>
+ <ds:KeyInfo>
+ <ds:KeyValue>
+ <ds:RSAKeyValue>
+ <ds:Modulus>xRE83dJy1dj+KVBp5Syo91fjGeG1MmJDSuTZ5MwdDzvIZrbK3YPh0jbJz4lOSrw9urRacavZX4m2
+XAKfSRxaowP3GqTh3Ew4WJE7yXEnWiic7bUz8uMIr020bsvqHCvY48+oPARbz/cEOf5NgMBWqo9E
+nibdIyU5+AmfFzDaMwNocJEANoXrjLTpduCHvT0Qt/wH+7rVdgjX1djMrBhyMWs7GQyIBRfuf58m
+8kdcoiMSm9AWA4d4GzXch+bi1QRzj+Ib80DeWdcXP3Hc6pcyp/+L+hya2jZ9NMS8yup6xuoAeh7w
+6JNpfE9QnO3/CPrDZTtmjPK2OIRkhgn4Yi+iBQ==</ds:Modulus>
+ <ds:Exponent>AQAB</ds:Exponent>
+ </ds:RSAKeyValue>
+ </ds:KeyValue>
+ </ds:KeyInfo>
+ </ds:Signature>
+ <saml2p:Status>
+ <saml2p:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
+ </saml2p:Status>
+ <saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="_602c3236bffaf71ac3ac88674e76ff9f" IssueInstant="2014-03-05T06:39:51.017Z" Version="2.0">
+ <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://demo.egiz.gv.at/demoportal_moaid-2.0</saml2:Issuer>
+ <saml2:Subject>
+ <saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="urn:publicid:gv.at:cdid+BF">QVGm48cqcM4UcyhDTNGYmVdrIoY=</saml2:NameID>
+ <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
+ <saml2:SubjectConfirmationData InResponseTo="_aeebfae3ce681fe3ddcaf213a42f01d3" NotOnOrAfter="2014-03-05T06:44:51.017Z" Recipient="https://demo.egiz.gv.at/demoportal_demologin/securearea.action"/>
+ </saml2:SubjectConfirmation>
+ </saml2:Subject>
+ <saml2:Conditions NotBefore="2014-03-05T06:39:51.017Z" NotOnOrAfter="2014-03-05T06:44:51.017Z">
+ <saml2:AudienceRestriction>
+ <saml2:Audience>https://demo.egiz.gv.at/demoportal_demologin/</saml2:Audience>
+ </saml2:AudienceRestriction>
+ </saml2:Conditions>
+ <saml2:AuthnStatement AuthnInstant="2014-03-05T06:39:51.017Z" SessionIndex="_c0c683509a8ff6ac372a9cf9c5c5a406">
+ <saml2:AuthnContext>
+ <saml2:AuthnContextClassRef>http://www.stork.gov.eu/1.0/citizenQAALevel/4</saml2:AuthnContextClassRef>
+ </saml2:AuthnContext>
+ </saml2:AuthnStatement>
+ <saml2:AttributeStatement>
+ <saml2:Attribute FriendlyName="PVP-VERSION" Name="urn:oid:1.2.40.0.10.2.1.1.261.10" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
+ <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">2.1</saml2:AttributeValue>
+ </saml2:Attribute>
+ <saml2:Attribute FriendlyName="PRINCIPAL-NAME" Name="urn:oid:1.2.40.0.10.2.1.1.261.20" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
+ <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Mustermann</saml2:AttributeValue>
+ </saml2:Attribute>
+ <saml2:Attribute FriendlyName="GIVEN-NAME" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
+ <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Max</saml2:AttributeValue>
+ </saml2:Attribute>
+ <saml2:Attribute FriendlyName="BIRTHDATE" Name="urn:oid:1.2.40.0.10.2.1.1.55" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
+ <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">1940-01-01</saml2:AttributeValue>
+ </saml2:Attribute>
+ <saml2:Attribute FriendlyName="BPK" Name="urn:oid:1.2.40.0.10.2.1.1.149" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
+ <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">BF:QVGm48cqcM4UcyhDTNGYmVdrIoY=</saml2:AttributeValue>
+ </saml2:Attribute>
+ <saml2:Attribute FriendlyName="EID-CITIZEN-QAA-LEVEL" Name="urn:oid:1.2.40.0.10.2.1.1.261.94" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
+ <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:integer">4</saml2:AttributeValue>
+ </saml2:Attribute>
+ <saml2:Attribute FriendlyName="EID-ISSUING-NATION" Name="urn:oid:1.2.40.0.10.2.1.1.261.32" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
+ <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">AT</saml2:AttributeValue>
+ </saml2:Attribute>
+ <saml2:Attribute FriendlyName="EID-SECTOR-FOR-IDENTIFIER" Name="urn:oid:1.2.40.0.10.2.1.1.261.34" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
+ <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">urn:publicid:gv.at:cdid+BF</saml2:AttributeValue>
+ </saml2:Attribute>
+ </saml2:AttributeStatement>
+ </saml2:Assertion>
+</saml2p:Response>
diff --git a/id/server/doc/handbook/protocol/AuthRequest.xml b/id/server/doc/handbook/protocol/AuthRequest.xml
new file mode 100644
index 000000000..f9de11c4c
--- /dev/null
+++ b/id/server/doc/handbook/protocol/AuthRequest.xml
@@ -0,0 +1,38 @@
+<?xml version="1.0" encoding="UTF-8"?>
+<saml2p:AuthnRequest xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceIndex="1" AttributeConsumingServiceIndex="0" Destination="https://demo.egiz.gv.at/demoportal_moaid-2.0/pvp2/post" ID="_aeebfae3ce681fe3ddcaf213a42f01d3" IssueInstant="2014-03-05T06:39:02.775Z" Version="2.0">
+ <saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://demo.egiz.gv.at/demoportal_demologin/</saml2:Issuer>
+ <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
+ <ds:SignedInfo>
+ <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
+ <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
+ <ds:Reference URI="#_aeebfae3ce681fe3ddcaf213a42f01d3">
+ <ds:Transforms>
+ <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
+ <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
+ </ds:Transforms>
+ <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
+ <ds:DigestValue>sBVJQf9b+QIxRfH8YuTbF6hBrf4=</ds:DigestValue>
+ </ds:Reference>
+ </ds:SignedInfo>
+ <ds:SignatureValue>JK68H5XqmD2OEA8O/UCZFenVj0TrvauPhaKJt73pbHbi//hO1hBcRQbV2Qg3gQ11EcJ9Q+TM3TCe9nT6tdU/z7ry3qdZvlOfrkMF13fY4HOIuvB9AcySdxq2yKA3V5O9sLhf5S9qCyx9lMnTARC7wkVs4j2Pv00R6P/iROOHD5ryGF2J0FdtMp9VqhvQJ9yRGM2lTduF98MqxWA2EMk6AMo7qij0Bvha1B2OyFSU9HM3fyfRQpXDeiLnKHcjLpzu5TDNkKrP75c7vv85DDr7s2I0p74nAOVLMuLau5tEQ91Crk9QoqoqqEecKWcNJDXTO9MahCQw77hUDL1WOEMFFg==</ds:SignatureValue>
+ <ds:KeyInfo>
+ <ds:KeyValue>
+ <ds:RSAKeyValue>
+ <ds:Modulus>nEPzKMh3TovnfBnTyv+TMYFsGep8Uil7iNbfVyfLoBfqRdeGDOk4es2qWkgB6az+kM/9Js2H06m4
+pjEY7/RIjd0lMWqgi8eqdjilMmbFQykkYYQhlZbvi8KqoBcCKzj5N3GY4qh8A5qN4y85Q3sZj23T
+iiIY1rphE+ZTOHCm6CKeRso9jj409YHP1xAXfPvtIYx2TA1uuagxOmL75OC/hr7gcUm0tmuKiSeq
++TO4VZw2Q7K7YESZ1WkiBoG2i4cHdcBFKnVrGNtyxl6UkjWxXRJSU9aNLs5QxsE6iFwCvFoIO+IU
+cVWxfFHqOGbRtAcRUb4fk+KFHE2o1DLmfwZaUQ==</ds:Modulus>
+ <ds:Exponent>AQAB</ds:Exponent>
+ </ds:RSAKeyValue>
+ </ds:KeyValue>
+ </ds:KeyInfo>
+ </ds:Signature>
+ <saml2:Subject xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
+ <saml2:NameID>https://demo.egiz.gv.at/demoportal_demologin/</saml2:NameID>
+ </saml2:Subject>
+ <saml2p:NameIDPolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/>
+ <saml2p:RequestedAuthnContext>
+ <saml2:AuthnContextClassRef xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">http://www.stork.gov.eu/1.0/citizenQAALevel/4</saml2:AuthnContextClassRef>
+ </saml2p:RequestedAuthnContext>
+</saml2p:AuthnRequest>
diff --git a/id/server/doc/handbook/protocol/idp_metadata.xml b/id/server/doc/handbook/protocol/idp_metadata.xml
new file mode 100644
index 000000000..2d2990917
--- /dev/null
+++ b/id/server/doc/handbook/protocol/idp_metadata.xml
@@ -0,0 +1,129 @@
+<md:EntitiesDescriptor ID="_8e844196b97a91dc47f59577edc2d2b7" Name="MOA-ID 2.0 Demo IDP (Version: 2.0-RC3)" validUntil="2014-03-26T11:34:06.707Z">
+ <ds:Signature>
+ <ds:SignedInfo>
+ <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
+ <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
+ <ds:Reference URI="#_8e844196b97a91dc47f59577edc2d2b7">
+ <ds:Transforms>
+ <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
+ <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
+ </ds:Transforms>
+ <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
+ <ds:DigestValue>YPy6KJGNTbmKTzmLbQ3wsDhGgz8ktuUjud19b9xoHe0=</ds:DigestValue>
+ </ds:Reference>
+ </ds:SignedInfo>
+ <ds:SignatureValue>Zg4iaALZ/pNrthme8PaH5iiWZQ+ay30oC14RJab99im9atRDd6tb5RGmmuKY0KXpxetHUnBp5yA8I2Oh+tUuaq4Vbhewq1k9TytZmo83KMJbWBwtPWhbgET/i40CcngDiKPZLSt793WJ/LJpFtj/YidJaq2Z4k5Mj4RUr/SBMdH2HN+fZio/K9uyGy7hOLWKIU9zrSj1sOeMvqwyT6vD8h2s2qWV4TZai2PMxUSMgqqmJS3be2yoI68+5JHX3lgdQ9xRfhasxk//hK/rx39UiljIKxRRUpq1V2TGimK6YYNKrimzzVznCoB25h1+NMF8vQvwSRj085MAQkeQ14gedw==</ds:SignatureValue>
+ <ds:KeyInfo>
+ <ds:X509Data>
+ <ds:X509Certificate>MIIEFTCCAv2gAwIBAgIJAI/HXXgQpJtFMA0GCSqGSIb3DQEBCwUAMGQxCzAJBgNVBAYTAkFUMRMw
+EQYDVQQIEwpTb21lLVN0YXRlMQ0wCwYDVQQHEwRHcmF6MQ0wCwYDVQQKEwRFR0laMSIwIAYDVQQD
+ExlNT0EtSUQgSURQIChUZXN0LVZlcnNpb24pMB4XDTE0MDEyMTA4NDAxOFoXDTE1MDEyMTA4NDAx
+OFowZDELMAkGA1UEBhMCQVQxEzARBgNVBAgTClNvbWUtU3RhdGUxDTALBgNVBAcTBEdyYXoxDTAL
+BgNVBAoTBEVHSVoxIjAgBgNVBAMTGU1PQS1JRCBJRFAgKFRlc3QtVmVyc2lvbikwggEiMA0GCSqG
+SIb3DQEBAQUAA4IBDwAwggEKAoIBAQDFETzd0nLV2P4pUGnlLKj3V+MZ4bUyYkNK5NnkzB0PO8hm
+tsrdg+HSNsnPiU5KvD26tFpxq9lfibZcAp9JHFqjA/capOHcTDhYkTvJcSdaKJzttTPy4wivTbRu
+y+ocK9jjz6g8BFvP9wQ5/k2AwFaqj0SeJt0jJTn4CZ8XMNozA2hwkQA2heuMtOl24Ie9PRC3/Af7
+utV2CNfV2MysGHIxazsZDIgFF+5/nybyR1yiIxKb0BYDh3gbNdyH5uLVBHOP4hvzQN5Z1xc/cdzq
+lzKn/4v6HJraNn00xLzK6nrG6gB6HvDok2l8T1Cc7f8I+sNlO2aM8rY4hGSGCfhiL6IFAgMBAAGj
+gckwgcYwHQYDVR0OBBYEFKG3LzuPtAGCXUPTw3fo9dtsS9wWMIGWBgNVHSMEgY4wgYuAFKG3LzuP
+tAGCXUPTw3fo9dtsS9wWoWikZjBkMQswCQYDVQQGEwJBVDETMBEGA1UECBMKU29tZS1TdGF0ZTEN
+MAsGA1UEBxMER3JhejENMAsGA1UEChMERUdJWjEiMCAGA1UEAxMZTU9BLUlEIElEUCAoVGVzdC1W
+ZXJzaW9uKYIJAI/HXXgQpJtFMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQELBQADggEBAME3wzEi
+UAcF2pCDtMMJzX4IDhSkWNuvWtSMMy8Vgtcc2t570teIKh+qNKQWZyX3QFVE6ovDABg3ZUhn780l
+G4/t6aMOUEeGg4udl7l0QRBRbdd+9oc0Aw5dQqku02AQ6wQd695PLj+F0GeA7cdef90aLPu6Rwa5
+z5BiKpReJZoul3NpjQXz7A1IslZOlIhEDcFUlBSn/+QfLOeNDKurvPT0OzUGSGfrv0AoniNHc/fz
+lfyRmgFbzAVHedU5cIxcE0yHtEKFjFSVwtGng9rTJpoOoY4pvGvAHlw6GEgO+HwFukPDtnvY8vi/
+cfmNJhb06H+6mmHz929Bk4HuHoQj8X8=</ds:X509Certificate>
+ </ds:X509Data>
+ </ds:KeyInfo>
+ </ds:Signature>
+ <md:EntityDescriptor entityID="https://demo.egiz.gv.at/demoportal_moaid-2.0" validUntil="2014-04-18T10:34:06.707Z">
+ <md:IDPSSODescriptor WantAuthnRequestsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
+ <md:KeyDescriptor use="signing">
+ <ds:KeyInfo>
+ <ds:X509Data>
+ <ds:X509Certificate>MIIEFTCCAv2gAwIBAgIJAI/HXXgQpJtFMA0GCSqGSIb3DQEBCwUAMGQxCzAJBgNVBAYTAkFUMRMw
+EQYDVQQIEwpTb21lLVN0YXRlMQ0wCwYDVQQHEwRHcmF6MQ0wCwYDVQQKEwRFR0laMSIwIAYDVQQD
+ExlNT0EtSUQgSURQIChUZXN0LVZlcnNpb24pMB4XDTE0MDEyMTA4NDAxOFoXDTE1MDEyMTA4NDAx
+OFowZDELMAkGA1UEBhMCQVQxEzARBgNVBAgTClNvbWUtU3RhdGUxDTALBgNVBAcTBEdyYXoxDTAL
+BgNVBAoTBEVHSVoxIjAgBgNVBAMTGU1PQS1JRCBJRFAgKFRlc3QtVmVyc2lvbikwggEiMA0GCSqG
+SIb3DQEBAQUAA4IBDwAwggEKAoIBAQDFETzd0nLV2P4pUGnlLKj3V+MZ4bUyYkNK5NnkzB0PO8hm
+tsrdg+HSNsnPiU5KvD26tFpxq9lfibZcAp9JHFqjA/capOHcTDhYkTvJcSdaKJzttTPy4wivTbRu
+y+ocK9jjz6g8BFvP9wQ5/k2AwFaqj0SeJt0jJTn4CZ8XMNozA2hwkQA2heuMtOl24Ie9PRC3/Af7
+utV2CNfV2MysGHIxazsZDIgFF+5/nybyR1yiIxKb0BYDh3gbNdyH5uLVBHOP4hvzQN5Z1xc/cdzq
+lzKn/4v6HJraNn00xLzK6nrG6gB6HvDok2l8T1Cc7f8I+sNlO2aM8rY4hGSGCfhiL6IFAgMBAAGj
+gckwgcYwHQYDVR0OBBYEFKG3LzuPtAGCXUPTw3fo9dtsS9wWMIGWBgNVHSMEgY4wgYuAFKG3LzuP
+tAGCXUPTw3fo9dtsS9wWoWikZjBkMQswCQYDVQQGEwJBVDETMBEGA1UECBMKU29tZS1TdGF0ZTEN
+MAsGA1UEBxMER3JhejENMAsGA1UEChMERUdJWjEiMCAGA1UEAxMZTU9BLUlEIElEUCAoVGVzdC1W
+ZXJzaW9uKYIJAI/HXXgQpJtFMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQELBQADggEBAME3wzEi
+UAcF2pCDtMMJzX4IDhSkWNuvWtSMMy8Vgtcc2t570teIKh+qNKQWZyX3QFVE6ovDABg3ZUhn780l
+G4/t6aMOUEeGg4udl7l0QRBRbdd+9oc0Aw5dQqku02AQ6wQd695PLj+F0GeA7cdef90aLPu6Rwa5
+z5BiKpReJZoul3NpjQXz7A1IslZOlIhEDcFUlBSn/+QfLOeNDKurvPT0OzUGSGfrv0AoniNHc/fz
+lfyRmgFbzAVHedU5cIxcE0yHtEKFjFSVwtGng9rTJpoOoY4pvGvAHlw6GEgO+HwFukPDtnvY8vi/
+cfmNJhb06H+6mmHz929Bk4HuHoQj8X8=</ds:X509Certificate>
+ </ds:X509Data>
+ </ds:KeyInfo>
+ </md:KeyDescriptor>
+ <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
+ <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
+ <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
+ <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://demo.egiz.gv.at/demoportal_moaid-2.0/pvp2/post"/>
+ <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://demo.egiz.gv.at/demoportal_moaid-2.0/pvp2/redirect"/>
+ <saml2:Attribute FriendlyName="EID-ISSUING-NATION" Name="urn:oid:1.2.40.0.10.2.1.1.261.32" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="pseudonym" Name="http://www.stork.gov.eu/1.0/pseudonym" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="fiscalNumber" Name="http://www.stork.gov.eu/1.0/fiscalNumber" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="age" Name="http://www.stork.gov.eu/1.0/age" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="EID-IDENTITY-LINK" Name="urn:oid:1.2.40.0.10.2.1.1.261.38" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="canonicalResidenceAddress" Name="http://www.stork.gov.eu/1.0/canonicalResidenceAddress" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="EID-SOURCE-PIN" Name="urn:oid:1.2.40.0.10.2.1.1.261.36" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="PVP-VERSION" Name="urn:oid:1.2.40.0.10.2.1.1.261.10" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="EID-SECTOR-FOR-IDENTIFIER" Name="urn:oid:1.2.40.0.10.2.1.1.261.34" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="GIVEN-NAME" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="nationalityCode" Name="http://www.stork.gov.eu/1.0/nationalityCode" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="textResidenceAddress" Name="http://www.stork.gov.eu/1.0/textResidenceAddress" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="countryCodeOfBirth" Name="http://www.stork.gov.eu/1.0/countryCodeOfBirth" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATOR-NATURAL-PERSON-GIVEN-NAME" Name="urn:oid:1.2.40.0.10.2.1.1.261.78" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATE-FULL-MANDATE" Name="urn:oid:1.2.40.0.10.2.1.1.261.92" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="residencePermit" Name="http://www.stork.gov.eu/1.0/residencePermit" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="EID-CITIZEN-QAA-LEVEL" Name="urn:oid:1.2.40.0.10.2.1.1.261.94" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATOR-LEGAL-PERSON-SOURCE-PIN-TYPE" Name="urn:oid:1.2.40.0.10.2.1.1.261.76" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="isAgeOver" Name="http://www.stork.gov.eu/1.0/isAgeOver" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="EID-STORK-TOKEN" Name="urn:oid:1.2.40.0.10.2.1.1.261.96" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATOR-NATURAL-PERSON-SOURCE-PIN" Name="urn:oid:1.2.40.0.10.2.1.1.261.70" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATOR-NATURAL-PERSON-BPK" Name="urn:oid:1.2.40.0.10.2.1.1.261.98" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="BIRTHDATE" Name="urn:oid:1.2.40.0.10.2.1.1.55" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="title" Name="http://www.stork.gov.eu/1.0/title" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="PRINCIPAL-NAME" Name="urn:oid:1.2.40.0.10.2.1.1.261.20" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATE-REFERENCE-VALUE" Name="urn:oid:1.2.40.0.10.2.1.1.261.90" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="BPK" Name="urn:oid:1.2.40.0.10.2.1.1.149" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="adoptedFamilyName" Name="http://www.stork.gov.eu/1.0/adoptedFamilyName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATOR-LEGAL-PERSON-SOURCE-PIN" Name="urn:oid:1.2.40.0.10.2.1.1.261.100" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATOR-PROF-REP-DESCRIPTION" Name="urn:oid:1.2.40.0.10.2.1.1.261.88" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATOR-NATURAL-PERSON-SOURCE-PIN-TYPE" Name="urn:oid:1.2.40.0.10.2.1.1.261.102" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="EID-SOURCE-PIN-TYPE" Name="urn:oid:1.2.40.0.10.2.1.1.261.104" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATE-TYPE" Name="urn:oid:1.2.40.0.10.2.1.1.261.68" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="maritalStatus" Name="http://www.stork.gov.eu/1.0/maritalStatus" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="EID-SIGNER-CERTIFICATE" Name="urn:oid:1.2.40.0.10.2.1.1.261.66" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="inheritedFamilyName" Name="http://www.stork.gov.eu/1.0/inheritedFamilyName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="EID-CCS-URL" Name="urn:oid:1.2.40.0.10.2.1.1.261.64" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATOR-NATURAL-PERSON-BIRTHDATE" Name="urn:oid:1.2.40.0.10.2.1.1.261.82" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="EID-AUTH-BLOCK" Name="urn:oid:1.2.40.0.10.2.1.1.261.62" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATOR-NATURAL-PERSON-FAMILY-NAME" Name="urn:oid:1.2.40.0.10.2.1.1.261.80" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="gender" Name="http://www.stork.gov.eu/1.0/gender" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATOR-PROF-REP-OID" Name="urn:oid:1.2.40.0.10.2.1.1.261.86" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ <saml2:Attribute FriendlyName="MANDATOR-LEGAL-PERSON-FULL-NAME" Name="urn:oid:1.2.40.0.10.2.1.1.261.84" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/>
+ </md:IDPSSODescriptor>
+ <md:Organization>
+ <md:OrganizationName xml:lang="de">EGIZ</md:OrganizationName>
+ <md:OrganizationDisplayName xml:lang="de">E-Government Innovationszentrum</md:OrganizationDisplayName>
+ <md:OrganizationURL xml:lang="de">http://www.egiz.gv.at</md:OrganizationURL>
+ </md:Organization>
+ <md:ContactPerson contactType="technical">
+ <md:Company>E-Government Innovationszentrum</md:Company>
+ <md:GivenName>Lenz</md:GivenName>
+ <md:SurName>Thomas</md:SurName>
+ <md:EmailAddress>thomas.lenz@egiz.gv.at</md:EmailAddress>
+ <md:TelephoneNumber>+43 316 873 5525</md:TelephoneNumber>
+ </md:ContactPerson>
+ </md:EntityDescriptor>
+</md:EntitiesDescriptor>
diff --git a/id/server/doc/handbook/protocol/openIDconnect_sequenz.png b/id/server/doc/handbook/protocol/openIDconnect_sequenz.png
new file mode 100644
index 000000000..2faff33ed
--- /dev/null
+++ b/id/server/doc/handbook/protocol/openIDconnect_sequenz.png
Binary files differ
diff --git a/id/server/doc/handbook/protocol/protocol.html b/id/server/doc/handbook/protocol/protocol.html
new file mode 100644
index 000000000..5055a4325
--- /dev/null
+++ b/id/server/doc/handbook/protocol/protocol.html
@@ -0,0 +1,1164 @@
+<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
+<html>
+<head>
+ <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" >
+ <title>MOA-ID - Protokolle</title>
+ <link rel="stylesheet" href="../common/MOA.css" type="text/css">
+</head>
+<body link="#990000">
+ <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
+ <tr>
+ <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
+ <td align="center" class="logoTitle">Dokumentation</td>
+ <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
+ </tr>
+ </table>
+ <hr/>
+ <p class="title"><a href="../index.html">MOA-ID (Identifikation) </a></p>
+<p class="subtitle">Protokolle</p>
+ <hr/>
+<h1>Inhalt</h1>
+ <ol>
+ <li><a href="#allgemeines">Allgemeines</a>
+ <ol>
+ <li><a href="#allgemeines_zugangspunkte">&Uuml;bersicht der Zugangspunkte</a></li>
+ <li><a href="#allgemeines_attribute">&Uuml;bersicht der m&ouml;glichen Attribute</a></li>
+ <li><a href="#allgemeines_sso">Single Sign-On</a></li>
+ <li><a href="#allgemeines_ssologout">SSO Logout </a></li>
+ <li><a href="#allgemeines_legacy">Legacy Request (B&uuml;rgerkartenauswahl beim Service Provider)</a></li>
+ </ol>
+ </li>
+ <li><a href="#pvp21">PVP 2.1 </a>
+ <ol>
+ <li><a href="#pvp21_sequenz">Ablauf einer Anmeldung mittels PVP 2.1</a></li>
+ <li><a href="#pvp21_metadata">Metadaten</a></li>
+ <li><a href="#pvp21_binding">Zugangspunkte</a>
+<ol>
+ <li><a href="#2.3.1 Authentifizierungsrequest">Authentifizierungsrequest</a></li>
+ <li><a href="#pvp21_binding_response">Authentifizierungsrespon</a></li>
+ </ol>
+ </li>
+ </ol>
+ </li>
+ <li><a href="#openid">OpenID Connect</a>
+ <ol>
+ <li><a href="#openid_sequenzdiagramm">Ablauf einer Anmeldung mittels OpenID Connect</a></li>
+ <li><a href="#openid_interface">Zugangspunkte</a></li>
+ <li><a href="#openid_requests">Beschreibung der Nachrichten</a>
+<ol>
+ <li><a href="#openid_req_authnreq">AuthCode Request</a></li>
+ <li><a href="#openid_req_authnresp">AuthCode Response</a></li>
+ <li><a href="#openid_req_tokenreq">AccessToken Request</a></li>
+ <li><a href="#openid_req_tokenresp">AccessToken Response</a></li>
+ </ol>
+</li>
+ </ol>
+ </li>
+ <li><a href="#saml1">SAML 1</a>
+ <ol>
+ <li><a href="#saml1_sequence">Ablauf einer Anmeldung mittels SAML 1</a></li>
+ <li><a href="#saml1_zugang">Zugangspunkte</a></li>
+ <li><a href="#saml1_startauth">StartAuthentication Request</a></li>
+ <li><a href="#saml1_getassertion">GetAuthenticationData Request</a></li>
+ </ol>
+ </li>
+
+ <li><a href="#referenzierte_spezifikation">Referenzierte Spezifikation</a></li>
+</ol>
+<hr/>
+ <h1><a name="allgemeines"></a>1 Allgemeines</h1>
+ <p>Dieses Kapitel behandelt jene Authentifizierungsprotokolle die vom Modul MOA-ID-Auth unterstützt werden.
+ Wobei die Verwendung der Protokolle PVP 2.1 oder OpenID Connect empfohlen wird. Das Protokoll SAML 1, welches bis zur MOA-ID Version 1.5.1
+ verwendet wurde, wird jedoch ab der Version 2.0 nur mehr aus Kompatibilitätsgründen angeboten und nicht mehr aktiv weiterentwickelt.</p>
+<h2><a name="allgemeines_zugangspunkte" id="allgemeines_zugangspunkte"></a>1.1 &Uuml;bersicht der Zugangspunkte</h2>
+<p>In diesem Abschnitt sind die Zugangspunkte der vom Modul MOA-ID-Auth unterst&uuml;tzten Protokolle kurz zusammengefasst. Eine detaillierte Beschreibung der einzelnen Protokolle finden Sie in den anschlie&szlig;enden Unterkapiteln. </p>
+ <table width="1247" border="1">
+ <tr>
+ <th width="164" scope="col">Protokoll</th>
+ <th width="168" scope="col">Requesttyp</th>
+ <th width="893" scope="col">URL</th>
+ </tr>
+ <tr>
+ <td><a href="#pvp21">PVP 2.1</a></td>
+ <td>Metadaten</td>
+ <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/metadata</td>
+ </tr>
+ <tr>
+ <td><p><a href="#pvp21">PVP 2.1</a></p></td>
+ <td>Authentifizierungsrequest <br>
+ POST Binding</td>
+ <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/post</td>
+ </tr>
+ <tr>
+ <td><p><a href="#pvp21">PVP 2.1</a></p></td>
+ <td>Authentifizierungsrequest <br>
+Redirect Binding</td>
+ <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/redirect</td>
+ </tr>
+ <tr>
+ <td><a href="#openid">OpenID Connect</a></td>
+ <td>Authentifizierungsrequest <br>
+ (AuthCode-Request)</td>
+ <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth2/auth</td>
+ </tr>
+ <tr>
+ <td><a href="#openid">OpenID Connect</a></td>
+ <td><p>AccessToken-Request</p></td>
+ <td>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth2/token</td>
+ </tr>
+ <tr>
+ <td><a href="#saml1">SAML 1</a></td>
+ <td>Authentifizierungsrequest</td>
+ <td><p>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/StartAuthentication</p></td>
+ </tr>
+ <tr>
+ <td><a href="#saml1">SAML 1</a></td>
+ <td><p>GetAuthenticationData</p></td>
+ <td><p>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/services/GetAuthenticationData</p>
+ <p>http://&lt;host&gt;:&lt;port&gt;/moa-id-auth/services/GetAuthenticationData</p></td>
+ </tr>
+ <tr>
+ <td><a href="#allgemeines_ssologout">SSO Logout</a></td>
+ <td>LogOut</td>
+ <td><p>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/LogOut</p>
+ <p>http://&lt;host&gt;:&lt;port&gt;/moa-id-auth/LogOut</p></td>
+ </tr>
+ </table>
+ <h2><a name="allgemeines_attribute" id="allgemeines_zugangspunkte2"></a>1.2 &Uuml;bersicht der m&ouml;glichen Attribute</h2>
+<p>Die nachfolgende Tabelle beinhaltet eine Liste aller Attribute die vom Modul MOA-ID-Auth an die Online-Applikation zur&uuml;ckgeliefert werden k&ouml;nnen, sofern diese nach der Authentifizierung zur Verf&uuml;gung stehen. Alle Namen beziehen sich auf den Attributnamen im jeweiligen Protokoll. Detailinformationen zu den einzelnen Attributen finden Sie in der <a href="#referenzierte_spezifikation">PVP 2.1 Spezifikation</a> der der <a href="#referenzierte_spezifikation">STORK Spezifikation</a>.</p>
+<table width="1247" border="1">
+ <tr>
+ <th colspan="4" align="center" valign="middle" scope="col">Protokolle</th>
+ <th width="429" rowspan="3" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <th width="208" rowspan="2" scope="col">PVP 2.1</th>
+ <th colspan="2" scope="col">OpenID Connect</th>
+ <th width="335" rowspan="2" scope="col">SAML 1</th>
+ </tr>
+ <tr>
+ <th width="188" scope="col">Name</th>
+ <th width="53" scope="col">Profil</th>
+ </tr>
+ <tr>
+ <td>urn:oid:1.2.40.0.10.2.1.1.149</td>
+ <td>BPK</td>
+ <td align="center">eID</td>
+ <td><p>/saml:Assertion/saml:AttributeStatement/</p>
+ <p>saml:Subject/saml:NameIdentifier</p></td>
+ <td><p>Bereichsspezifisches Personenkennzeichen (bPK / wbPK)</p>
+ <p><strong>Hinweis:</strong> Der Syntax f&uuml;r dieses Attribut bei den Protokollen PVP 2.1 und OpenID Connect ist <em>bPK-value := (BEREICH &quot;:&quot; bPK/wbPK)</em> wobei unter <em>Bereich</em> der &ouml;ffentliche Bereich (Target) der Online-Applikation oder die Stammzahl des Auftraggebers bei Anwendungs-verantwortlichen aus der Privatwirtschaft angegeben wird.</p></td>
+ </tr>
+ <tr>
+ <td><p>urn:oid:2.5.4.42</p></td>
+ <td>given_name</td>
+ <td align="center">profile</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;PersonData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Vorname</td>
+ </tr>
+ <tr>
+ <td><p>urn:oid:1.2.40.0.10.2.1.1.261.20</p></td>
+ <td>family_name</td>
+ <td align="center">profile</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;PersonData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Familienname</td>
+ </tr>
+ <tr>
+ <td>urn:oid:1.2.40.0.10.2.1.1.55</td>
+ <td>birthdate</td>
+ <td align="center">profile</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;PersonData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Geburtsdatum im Format JJJJ-MM-TT</td>
+ </tr>
+ <tr>
+ <td>urn:oid:1.2.40.0.10.2.1.1.261.64</td>
+ <td>EID-CCS-URL</td>
+ <td align="center">eID</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;bkuURL&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;&gt;</td>
+ <td>URL auf die B&uuml;rgerkartenumgebung die f&uuml;r die Authentifizierung verwendet wurde. Im Falle einer Anmeldung mittels STORK steht dieses Attribut NICHT zur Verf&uuml;gung.</td>
+ </tr>
+ <tr>
+ <td>urn:oid:1.2.40.0.10.2.1.1.261.94</td>
+ <td>EID-CITIZEN-QAA-LEVEL</td>
+ <td align="center">eID</td>
+ <td>&nbsp;</td>
+ <td>Authentifizierungslevel des B&uuml;rgers</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.32</td>
+ <td>EID-ISSUING-NATION</td>
+ <td align="center">eID</td>
+ <td>&nbsp;</td>
+ <td>Landescode gem. ISO-3166 ALPHA-2</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.34</td>
+ <td>EID-SECTOR-FOR-IDENTIFIER</td>
+ <td align="center">eID</td>
+ <td>&nbsp;</td>
+ <td>Bereich f&uuml;r den die bPK / wbPK berechnet wurde.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.62</td>
+ <td>EID-AUTH-BLOCK</td>
+ <td align="center">eID</td>
+ <td><p>/saml:Assertion/saml:AttributeStatement/</p>
+ <p>saml:Subject/saml:SubjectConfirmation/</p>
+ <p>saml:SubjectConfirmationData</p></td>
+ <td>Base64 kodierte Signatur die w&auml;hrend des Authentifizierungsdaten vom Benutzer erzeugt wurde.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.66</td>
+ <td>EID-SIGNER-CERTIFICATE</td>
+ <td align="center">eID</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;SignerCertificate&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;&gt;</td>
+ <td>Base64 kodiertes Zertifikat, dass f&uuml;r die Anmeldung verwendet wurde.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.36</td>
+ <td>EID-SOURCE-PIN</td>
+ <td align="center">eID_gov</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;PersonData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td><p>Stammzahl der nat&uuml;rlichen Person</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur zur Verf&uuml;gung wenn die Online-Applikation alle <a href="../config/config.html#konfigurationsparameter_oa_general_public">Anforderungen an eine Applikation aus dem &ouml;ffentlichen Bereich</a> erf&uuml;llt.</p></td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid: 1.2.40.0.10.2.1.1.261.104</td>
+ <td>EID-SOURCE-PIN-TYPE</td>
+ <td align="center">eID_gov</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;PersonData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td><p>Bereich der Stammzahl, wobei aktuell nur ein Bereich existiert.</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur zur Verf&uuml;gung wenn die Online-Applikation alle <a href="../config/config.html#konfigurationsparameter_oa_general_public">Anforderungen an eine Applikation aus dem &ouml;ffentlichen Bereich</a> erf&uuml;llt.</p></td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.38</td>
+ <td>EID-IDENTITY-LINK</td>
+ <td align="center">eID_gov</td>
+ <td><p>/saml:Assertion/saml:AttributeStatement/</p>
+ <p>saml:Subject/saml:SubjectConfirmation/</p>
+ <p>saml:SubjectConfirmationData</p></td>
+ <td><p>Gesamte Personenbindung in BASE64 kodiert.</p>
+ <p><strong>Hinweis:</strong> Im Falle einer privatwirtschaftlichen Applikation ist die Stammzahl durch die wbPK ersetzt.</p></td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.68</td>
+ <td>MANDATE-TYPE</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;RepresentationType&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/mandates/20040701#&quot;&gt;</td>
+ <td>Bezeichnung des verwendeten Vollmachten-Profils.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.102</td>
+ <td>MANDATOR-NATURAL-PERSON-SOURCE-PIN-TYPE</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;MandateData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Bereich der Stammzahl der vertretenen nat&uuml;rlichen Person, wobei aktuell nur ein Bereich existiert.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.70</td>
+ <td>MANDATOR-NATURAL-PERSON-SOURCE-PIN</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;MandateData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Stammzahl der nat&uuml;rlichen Person, f&uuml;r die Vollmachts- bzw. Vertretungsbe-fugnisse ausge&uuml;bt werden.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.76</td>
+ <td>MANDATOR-LEGAL-PERSON-SOURCE-PIN-TYPE</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;MandateData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Gibt an, um welche Art der Stammzahl einer vertretenen juristischen Person es sich handelt.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.100</td>
+ <td>MANDATOR-LEGAL-PERSON-SOURCE-PIN</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;MandateData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Stammzahl der juristischen Person, f&uuml;r die Vollmachts- bzw. Vertretungsbe-fugnisse ausge&uuml;bt werden.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.98</td>
+ <td>MANDATOR-NATURAL-PERSON-BPK</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;MandateData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Bereichsspezifisches Personenkennzeichen des Vollmachtgebers</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.78</td>
+ <td>MANDATOR-NATURAL-PERSON-GIVEN-NAME</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;MandateData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Vorname(n) der nat&uuml;rlichen Person, die die Vollmacht erteilt hat, bzw. die vertreten wird.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.80</td>
+ <td>MANDATOR-NATURAL-PERSON-FAMILY-NAME</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;MandateData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Nachname der Person, die die Vollmacht erteilt hat, bzw. die vertreten wird.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.82</td>
+ <td>MANDATOR-NATURAL-PERSON-BIRTHDATE</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;MandateData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Geburtsdatum der Person, die die Vollmacht erteilt hat, bzw. die vertreten wird im Format JJJJ-MM-TT</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.84</td>
+ <td>MANDATOR-LEGAL-PERSON-FULL-NAME</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;MandateData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Name der juristischen Person bzw. Personenmehrheit gem&auml;&szlig; zugrundelie-gendem Register.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.86</td>
+ <td>MANDATE-PROF-REP-OID</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;MandateData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Object Identifiern (OID) zur Kennzeichnung von berufsm&auml;&szlig;igen ParteienvertreterInnen bzw. OrganwalterInnen.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.88</td>
+ <td>MANDATE-PROF-REP-DESCRIPTION</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;MandateData&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/persondata/20020228#&quot;&gt;</td>
+ <td>Textuelle Beschreibung der Eigenschaft als berufsm&auml;&szlig;iger ParteienvertreterIn.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.90</td>
+ <td>MANDATE-REFERENCE-VALUE</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;mandateReferenceValue&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;&gt;</td>
+ <td>Die im Rahmen einer elektronischen Vollmachtserstellung generierte Transaktionsnummer.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.92</td>
+ <td>MANDATE-FULL-MANDATE</td>
+ <td align="center">mandate</td>
+ <td>&lt;saml:Attribute AttributeName=&quot;Mandate&quot; AttributeNamespace=&quot;http://reference.e-government.gv.at/namespace/mandates/20040701#&quot;&gt;</td>
+ <td>Base64 kodierte Vollmacht im XML Format gem&auml;&szlig; Vollmachten-Spezifikation.</td>
+ </tr>
+ <tr>
+ <td height="23">urn:oid:1.2.40.0.10.2.1.1.261.96</td>
+ <td>EID-STORK-TOKEN</td>
+ <td align="center">stork</td>
+ <td>&nbsp;</td>
+ <td>Beinhaltet die komplette Response Message eines STORK Providers im Base64-Format.</td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ inheritedFamilyName</td>
+ <td>inheritedFamilyName</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ inheritedFamilyName</td>
+ <td><p>Vererbter Familienname</p>
+ <strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ adoptedFamilyName</td>
+ <td>adoptedFamilyName</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ adoptedFamilyName</td>
+ <td><p>Angenommener Familienname</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ gender</td>
+ <td>gender</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ gender</td>
+ <td><p>Geschlecht</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ countryCodeOfBirth</td>
+ <td>countryCodeOfBirth</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ countryCodeOfBirth</td>
+ <td><p>Geburtsland</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ nationalityCode</td>
+ <td>nationalityCode</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ nationalityCode</td>
+ <td><p>Nationalit&auml;t</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ maritalStatus</td>
+ <td>maritalStatus</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ maritalStatus</td>
+ <td><p>Familienstand</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ textResidenceAddress</td>
+ <td>textResidenceAddress</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ textResidenceAddress</td>
+ <td><p>Wohnadresse in Textform</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ canonicalResidenceAddress</td>
+ <td>canonicalResidenceAddress</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ canonicalResidenceAddress</td>
+ <td><p>Anerkannte Wohnadresse</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ title</td>
+ <td>title</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ title</td>
+ <td><p>Titel</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ residencePermit</td>
+ <td>residencePermit</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ residencePermit</td>
+ <td><p>Aufenthaltsbewilligung</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ pseudonym</td>
+ <td>pseudonym</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ pseudonym</td>
+ <td><p>Pseudonym</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ age</td>
+ <td>age</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ age</td>
+ <td><p>Alter</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ isAgeOver</td>
+ <td>isAgeOver</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ isAgeOver</td>
+ <td><p>Mindestalter erreicht</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ <tr>
+ <td height="23">http://www.stork.gov.eu/1.0/<br>
+ fiscalNumber</td>
+ <td>fiscalNumber</td>
+ <td align="center">stork</td>
+ <td>http://www.stork.gov.eu/1.0/<br>
+ fiscalNumber</td>
+ <td><p>Steuernummer</p>
+ <p><strong>Hinweis:</strong> Dieses Attribut steht nur bei einer Anmeldung mittels STORK zur Verf&uuml;gung.</p></td>
+ </tr>
+ </table>
+<h2><a name="allgemeines_sso" id="allgemeines_zugangspunkte3"></a>1.3 Single Sign-On</h2>
+<p>Das Modul MOA-ID-Auth unterst&uuml;tzt ab der Version 2.0 Single Sign-On (SSO), wobei diese Funktionalit&auml;t unabh&auml;ngig vom verwendeten Protokoll ist. Bei Verwendung von SSO muss sich der Benutzer nur ein Mal bei MOA-ID-Auth authentifizieren und danach steht die authentifizierte Session f&uuml;r die BenutzerIn oder den Benutzer f&uuml;r weitere Anmeldevorg&auml;nge ohne weitere Authentifizierung mittels B&uuml;rgerkarte, Handy-Signatur oder STORK zur Verf&uuml;gung. Die SSO Session kann danach durch <a href="#allgemeines_ssologout">die BenutzerIn oder den Benutzer beendet</a> werden, oder sie wird von MOA-ID-Auth nach der <a href="./../config/config.html#konfigurationsparameter_allgemein_timeouts">maximal erlaubten Sessionzeit</a> serverseitig beendet. </p>
+<p>Das nachfolgende Sequenzdiagramm zeigt eine Anmeldung mittels Single Sign-On an zwei Online-Applikationen unter Verwendung von PVP 2.1. Aus Gr&uuml;nden der &Uuml;bersichtlichkeit wurden die Teile welche die Kommunikation mit der B&uuml;rgerkartenumgebung, die Vollmachten-Auswahl oder den Metadatenaustausch betreffen bewusst nicht ber&uuml;cksichtigt.</p>
+<p><img src="sso_sequence.png" width="1095" height="978" alt="Sequenzdiagramm einer Anmeldung mittels Single Sign-On"></p>
+<ol>
+ <li>Die BenutzerIn oder der Benutzer verbindet sich zu einem Web-Portal (Service Provider 1) &uuml;ber das die Online-Applikation 1 erreichbar ist. Nach der Bet&auml;tigung eines Login-Buttons wird der Anmeldevorgang ausgel&ouml;st.</li>
+ <li>Der Service Provider 1 generiert einen Authentifizierungsrequest und sendet diesen &uuml;ber den Browser an das Modul MOA-ID-Auth.</li>
+ <li>MOA-ID-Auth leitet die BenutzerIn oder den Benutzer zur B&uuml;rgerkartenauswahl.
+ <ol>
+ <li>Die BenutzerIn oder der Benutzer Authentifiziert sich mit der gew&auml;hlten Methode.</li>
+ </ol>
+ </li>
+ <li>War die Authentifizierung der BenutzerIn oder des Benutzers erfolgreich generiert MOA-ID-Auth die Assertion mit den Anmeldedaten des Benutzers f&uuml;r die Online-Applikation 1.</li>
+ <li>MOA-ID-Auth senden die Assertion und ein SSO Token an den Browser des Benutzers, wobei das SSO Token (http Cookie) im Browser des Benutzers gespeichert wird.</li>
+ <li>Die Assertion (ohne SSO Token!) wird an den Service Provider 1 weitergeleitet.</li>
+ <li>Ist die Validierung der Assertion erfolgreich wird die BenutzerIn oder der Benutzer an der Online-Applikation 1 angemeldet. </li>
+ <li>Die BenutzerIn oder der Benutzer verbindet sich zu einem weiteren Web-Portal (Service Provider 2) &uuml;ber das die Online-Applikation 2 erreichbar ist. Nach der Bet&auml;tigung eines Login-Buttons wird der Anmeldevorgang f&uuml;r die Online-Applikation 2 ausgel&ouml;st.</li>
+ <li>Der Service Provider 2 generiert einen Authentifizierungsrequest und sendet diesen &uuml;ber den Browser.</li>
+ <li>Der Browser sendet den Authentifizierungsrequest und das gespeicherte SSO Token an das Modul MOA-ID-Auth.</li>
+ <li>MOA-ID-Auth validiert das SSO Token. Hierbei wird gepr&uuml;ft ob das Token zu einer aktiven SSO Session geh&ouml;rt und ob das Token bereits verwendet wurde. Jedes vergebene SSO Token ist nur f&uuml;r einen weiteren Anmeldevorgang g&uuml;ltig und wird anschlie&szlig;end durch ein neues ersetzt. Ist das Token abgelaufen oder wurde es bereits verwendet wird die korrespondierende SSO Session beendet und die BenutzerIn oder der Benutzer m&uuml;ssen sich erneut Authentifizieren.</li>
+ <li>Bei einem g&uuml;ltigen SSO Token antwortet MOA-ID-Auth mit einem <a href="./../config/config.html#konfigurationsparameter_oa_sso">Abfrage zum SSO Anmeldevorgang</a>, welche der BenutzerIn oder dem Benutzer im Browser dargestellt wird. Diese Abfrage beinhaltet den Namen der Online-Applikation 2 und eine einfache JA / NEIN Abfrage ob die Anmeldung mittels SSO an der Online-Applikation 2 fortgesetzt werden soll.<br>
+ <strong>Hinweis:</strong> Diese Abfrage kann jedoch f&uuml;r Online-Applikationen deaktiviert werden. N&auml;heres hierzu finden Sie <a href="./../config/config.html#import_template_sso">hier</a>.</li>
+ <li>Die Antwort der BenutzerIn oder dem Benutzer wird an MOA-ID-Auth &uuml;bermittelt. Antwort die BenutzerIn oder der Benutzer mit NEIN wird der Anmeldevorgang abgebrochen.</li>
+ <li>Soll der Anmeldevorgang vorgesetzt werden generiert MOA-ID-Auth die Assertion mit den Anmeldedaten des Benutzers f&uuml;r die Online-Applikation 2.</li>
+ <li>MOA-ID-Auth senden die Assertion und ein neues SSO Token an den Browser des Benutzers, wobei das SSO Token (http Cookie) im Browser des Benutzers gespeichert wird.</li>
+ <li>Die Assertion (ohne SSO Token!) wird an den Service Provider 2 weitergeleitet.</li>
+ <li>Ist die Validierung der Assertion erfolgreich wird die BenutzerIn oder der Benutzer an der Online-Applikation 2 angemeldet</li>
+</ol>
+<p>Zus&auml;tzliche Informationen zur Konfiguration und die sich daraus ergebenden Anforderungen oder Einschr&auml;nkungen finden sie <a href="./../config/config.html#konfigurationsparameter_allgemein_sso">hier</a>.</p>
+<h2><a name="allgemeines_ssologout" id="allgemeines_zugangspunkte5"></a>1.4 SSO Logout </h2>
+ <p>Das Modul MOA-ID-Auth stellt ein einfaches Service zur Beendigung einer bestehenden Single Sign-On Session zur Verf&uuml;gung. Nach dem Aufruf dieses Service aus dem Browser des Users wird eine bestehende SSO Session beendet und anschlie&szlig;end wird die BenutzerIn oder der Benutzer an eine im LogOut Request angegebene URL weitergeleitet. </p>
+ <p>Das SSO Logout Service steht unter folgender URL zur Verf&uuml;gung und ben&ouml;tigt einen http GET Parameter:</p>
+<pre>http://&lt;host&gt;:&lt;port&gt;/moa-id-auth/LogOut
+ </pre>
+ <p>bzw. </p>
+<pre>
+https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/LogOut
+ </pre>
+<table width="1247" border="1">
+ <tr>
+ <th width="115" scope="col">Name</th>
+ <th width="262" scope="col">Beispielwert</th>
+ <th width="848" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>redirect</td>
+ <td>https://demo.egiz.gv.at/demoportal-openID_demo</td>
+ <td><p>Nach Beendigung des Logout Vorgangs erfolgt ein Redirect auf die in diesem Parameter angegebene URL. Wird kein Parameter angegeben wird der Benutzer an die MOA-ID-Auth Instanz weitergeleitet.<br>
+ <br>
+ <strong>Hinweis:</strong>Wird eine URL angeben muss diese als Prefix identisch mit dem <a href="./../config/config.html#konfigurationsparameter_oa_general">eindeutigen Identifier der jeweiligen Online-Applikation</a> sein, </p></td>
+ </tr>
+</table>
+<p>&nbsp;</p>
+<p>Nachstehend ein Beispiel zur Verwendung dieses Services:s</p>
+<pre>https://demo.egiz.gv.at/moa-id-auth/LogOut?redirect=https://demo.egiz.gv.at/demoportal-openID_demo
+</pre>
+<p><strong>Hinweis:</strong> Dieses Service bietet jedoch NICHT eine vollst&auml;ndige Single Log-Out Funktionalit&auml;t wie sie im SAML 2 Protokoll vorgesehen ist, sondern beendet ausschlie&szlig;lich die SSO Session in der MOA-ID-Auth Instanz.</p>
+<h2><a name="allgemeines_legacy" id="allgemeines_zugangspunkte4"></a>1.5 Legacy Request (B&uuml;rgerkartenauswahl beim Service Provider)</h2>
+<p>Soll die B&uuml;rgerkartenauswahl jedoch weiterhin, wie aus MOA-ID 1.5.1 bekannt direkt in der Online-Applikation des Service Providers erfolgen muss f&uuml;r das jeweilige Protokoll der <a href="./../config/config.html#konfigurationsparameter_allgemein_protocol_legacy">Legacy Modus aktiviert</a> werden. Wird der Legacy Modus verwendet muss jedoch zus&auml;tzlich zu den protokollspezifischen Parametern mindestens der Parameter <em>bkuURI</em>, welcher die gew&auml;hlte B&uuml;rgerkartenumgebung enth&auml;lt, im Authentifizierungsrequest an MOA-ID-Auth &uuml;bergeben werden (siehe <a href="#saml1_startauth">Protokoll SAML 1</a>). Die folgenden Parameter stehen bei Verwendung des Legacy Modus unabh&auml;ngig vom verwendeten Protokoll zur Verf&uuml;gung und bilden den gesamten Umfang der B&uuml;rgerkartenauswahl, wie aus MOA-ID 1.5.1 bekannt, ab.</p>
+<table border="1" width="1247">
+ <tbody>
+ <tr>
+ <th scope="col" width="170">Name</th>
+ <th scope="col" width="221">Beispielwert</th>
+ <th scope="col" width="834">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>bkuURI=&lt;bku-url&gt;</td>
+ <td>https://127.0.0.1:3496/https-security-layer-request</td>
+ <td><p>URL auf die B&uuml;rgerkartenumgebung, welche f&uuml;r die Authentifizierung der BenutzerIn oder des Benutzers verwendet werden soll. F&uuml;r den Anmeldevorgang sind jedoch nur jene URLs auf B&uuml;rgerkartenumgebungen erlaubt die auch in der <a href="./../config/config.html#konfigurationsparameter_oa_bku">online-applikationsspezifischen Konfiguration als zu verwendente BKUs</a> eingetragen sind.</p>
+ <p><strong>Hinweis:</strong> Wird dieser Parameter nicht &uuml;bertragen, antwortet das Modul MOA-ID-Auth mit einem bei MOA-ID-Auth hinterlegten <a href="./../config/config.html#import_template_bku">B&uuml;rgerkartentemplate</a>.</p></td>
+ </tr>
+ <tr>
+ <td>Template=&lt;template-url&gt;</td>
+ <td>https://demo.egiz.gv.at/moa-id-auth/template_onlineBKU.html</td>
+ <td><strong>Optional:</strong> URL auf die HTML Vorlage f&uuml;r den Security-Layer Request, welcher f&uuml;r die Kommunikation mit der B&uuml;rgerkartenumgebumg verwendet wird. Die URL muss in der online-applikationsspezifischen Konfiguration von MOA-ID-Auth hinterlegt werden (<a href="file:///D:/Projekte/svn/moa-id/moa-idspss/id/server/doc/handbook/config/config.html#konfigurationsparameter_oa_bku">siehe Parameter <em>SecurityLayerTemplates</em></a>).<br>
+ Ist dieser Parameter nicht vorhanden, verwendet MOA-ID-Auth das f&uuml;r diese Online-Applikation hinterlegten Security-Layer Template (<a href="file:///D:/Projekte/svn/moa-id/moa-idspss/id/server/doc/handbook/config/config.html#konfigurationsparameter_oa_bku">siehe Parameter <em>SecurityLayerTemplates</em></a>).</td>
+ </tr>
+ <tr>
+ <td>useMandate=&lt;true/false&gt;</td>
+ <td>true / false</td>
+ <td><strong>Optional:</strong> Gibt an ob eine Anmeldung im Online-Vollmachten-Modus durchgef&uuml;hrt werden soll (=true) oder nicht (=false);</td>
+ </tr>
+ <tr>
+ <td>CCC=&lt;ccc&gt;</td>
+ <td>BE, SI, </td>
+ <td><strong>Optional:</strong> Gibt an ob die Anmeldung mittels STORK im angegebenen Land erfolgen soll. Die Angabe erfolgt mit dem L&auml;ndercode (Bsp: PT, LU, ES, ...) des jeweiligen Landes.</td>
+ </tr>
+ </tbody>
+</table>
+<p>&nbsp;</p>
+<p><strong>Hinweis:</strong> Bei einer vollst&auml;ndigen Neukonfiguration ist der Legacy Modus standardm&auml;&szlig;ig f&uuml;r alle Protokolle deaktiviert.</p>
+<p><strong>Hinweis:</strong> Bei der Verwendung des Legacy Request f&uuml;r die B&uuml;rgerkartenauswahl ist jedoch zu beachten dass im Falle einer aktiven Single Sign-On Session, MOA-ID-Auth mit einer Abfrage zum SSO Anmeldevorgang antwortet.</p>
+<h1><a name="pvp21"></a>2 PVP 2.1</h1>
+<p>Die PVP 2.1 Implementierung des Modules MOA-ID-Auth bezieht sich auf das <a href="#referenzierte_spezifikation">S-Profil der PVP 2 Spezifikation</a>. Das S - Profil von PVP 2 verwendet SAML WebSSO f&uuml;r die Authentifizierung von Benutzern mit Webbrowser. Dadurch wird die direkte Kommunikation des Browsers mit der Anwendung erm&ouml;glicht, was in Anwendungsf&auml;llen notwendig ist, wo Anwendungen nicht kompatibel mit dem Reverse - Proxy - Verfahren sind, datenschutzrechtliche Probleme bestehen oder SAML WebSSO als Industriestandard unterst&uuml;tzt werden soll.</p>
+<p>Bevor PVP 2.1 als Authentifizierungsprotokoll verwendet werden kann muss das Modul MOA-ID-Auth entsprechend konfiguriert werden. Detailinformationen zur Konfiguration finden Sie <a href="../config/config.html">hier</a>.</p>
+<h2><a name="pvp21_sequenz" id="pvp21_sequenz"></a>2.1 Ablauf einer Anmeldung mittels PVP 2.1</h2>
+<p>Die nachfolgende Abbildung zeigt das Sequenzdiagramm eines Anmeldevorgangs mittels PVP 2.1 und des Modules MOA-ID-Auth als Identity Provider. Aus Gr&uuml;nden der &Uuml;bersichtlichkeit wurden die Teile welche die Kommunikation mit der B&uuml;rgerkartenumgebung oder die Vollmachten-Auswahl betreffen bewusst nicht ber&uuml;cksichtigt.</p>
+<p><img src="pvp21_sequence.png" width="968" height="687" alt="Sequenzdiagramm PVP 2.1"></p>
+<ol>
+ <li>Der Benutzer verbindet sich zu einem Web-Portal (Service Provider) &uuml;ber das die Online-Applikation erreichbar ist. Nach der Bet&auml;tigung eines Login-Buttons wird der Anmeldevorgang ausgel&ouml;st.</li>
+ <li>Der Service Provider holt die Metadaten des Identity Providers am Modul MOA-ID-Auth ab und validiert die Signatur der Metadaten mit dem am Service Provider hinterlegten Zertifikat. Ist die Validierung erfolgt wird der Anmeldevorgang fortgesetzt.</li>
+ <li>Der Service Provider extrahiert Informationen aus den Metadaten und generiert einen Authentifizierungsrequest und sendet diesen &uuml;ber den Browser an das Modul MOA-ID-Auth.</li>
+ <li>MOA-ID Auth holt die Metadaten des Service Providers und validiert die Signatur der Metadaten mit dem in der MOA-ID-Auth Konfiguration f&uuml;r diesen Service Provider (Online-Applikation) hinterlegten Zertifikat. Ist die Validierung erfolgreich wird der Anmeldevorgang vorgesetzt.</li>
+ <li>MOA-ID-Auth validiert den Authentifizierungsrequest mit den Informationen aus dem Metadaten des Service Providers. Ist die Validierung erfolgreich wird der Anmeldevorgang vorgesetzt.</li>
+ <li>MOA-ID-Auth leitet die BenutzerIn oder den Benutzer zur B&uuml;rgerkartenauswahl.
+ <ol>
+ <li>Die BenutzerIn oder der Benutzer Authentifiziert sich mit der gew&auml;hlten Methode.</li>
+ </ol>
+ </li>
+ <li>War die Authentifizierung der BenutzerIn oder des Benutzers erfolgreich generiert MOA-ID-Auth die Assertion mit den Anmeldedaten des Benutzers.</li>
+ <li>MOA-ID-Auth senden die Assertion &uuml;ber den Browser an den Service Provider.</li>
+ <li>Der Service Provider validiert die Assertion mit den Informationen aus den Metadaten des Modules MOA-ID-Auth.
+ <ol>
+ <li>Ist die Validierung erfolgreich wird die BenutzerIn oder der Benutzer an der Online-Applikation angemeldet.</li>
+ </ol>
+ </li>
+</ol>
+<h2><a name="pvp21_metadata" id="pvp21_metadata"></a>2.2 Metadaten</h2>
+<p>Das Modul MOA-ID-Auth stellt f&uuml;r Service-Provider (Online-Applikationen) Metadaten bereit welche alle PVP 2.1 spezifischen Informationen der MOA-ID-Auth Instanz beinhalten. Diese Metadaten werden durch das Modul MOA-ID-Auth signiert, wodurch Service Provider die Authentizit&auml;t der Metadaten verifizieren k&ouml;nnen. Ein Beispiel f&uuml;r Metadaten von MOA-ID-Auth finden sie <a href="#idp_metadata.xml">hier</a>. Die aktuellen Metadaten zu Ihrer MOA-ID-Auth Instanz k&ouml;nnen unter folgender URL abgerufen werden.</p>
+<pre>http://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/metadata
+</pre>
+<p>bzw. </p>
+<pre>
+https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/metadata
+</pre>
+<p>Wollen Sie f&uuml;r Ihre Online-Applikation PVP 2.1 als Authentifizierungsprotokoll nutzen m&uuml;ssen f&uuml;r jede Online-Applikation Metadaten erstellt und durch den Service Provider signiert werden. Zus&auml;tzlich muss die URL auf die Metadaten und das entsprechende Signaturzertifikat zur Pr&uuml;fung der Signatur in der online-applikationsspezifischen <a href="../config/config.html#konfigurationsparameter_oa_protocol_pvp21">PVP 2.1 Konfiguration</a> von MOA-ID-Auth hinterlegt sein. Ein Beispiel f&uuml;r online-applikationsspezifische Metadaten finden Sie <a href="serviceprovider_metadata.xml">hier</a>.</p>
+<p>Die nachfolgenden Anforderungen an die online-applikationsspezifischen Metadaten .</p>
+<ul>
+ <li>Das XML Attribut <code>entityID</code> im Element <code>md:EntitiesDescriptor/md:EntityDescriptor</code> (siehe <a href="./serviceprovider_metadata.xml">Beispiel</a>) den <a href="../config/config.html#konfigurationsparameter_oa_general">eindeutigen Identifier</a> enth&auml;lt der f&uuml;r diese Online-Applikation bei MOA-ID-Auth hinterlegt ist. </li>
+ <li>Die Metadaten m&uuml;ssen ein Zertifikat zur Pr&uuml;fung der Signatur am Authentifizierungsrequest beinhalten. Hierf&uuml;r muss das XML Element <code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:KeyDescriptor</code> mit dem Attribut <code>use=&quot;signing&quot;</code> vorhanden sein (siehe <a href="./serviceprovider_metadata.xml">Beispiel</a>).</li>
+ <li>Die Metadaten m&uuml;ssen mindestens ein XML Element<br>
+<code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:AssertionConsumerService</code> enthalten welches das gew&uuml;nschte Binding und die URL zur Auslieferung der Assertion beinhaltet. </li>
+ <li>Werden zus&auml;tzlich zum bereichsspezifischen Personenkennzeichen (bPK / wbPK) weitere <a href="#allgemeines_attribute">Attribute</a> durch den Service Provider ben&ouml;tigt m&uuml;ssen diese &uuml;ber die Metadaten angefordert werden. <br>
+ Hierf&uuml;r steht das Element <code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:AttributeConsumingService</code> zur Verf&uuml;gung wobei die als Kindelemente <code>md:RequestedAttribute </code>die einzelnen ben&ouml;tigten Attribute definieren (siehe <a href="./serviceprovider_metadata.xml">Beispiel</a>).</li>
+</ul>
+<p>Zus&auml;tzlich unterst&uuml;tzt das Modul MOA-ID-Auth auch die Verschl&uuml;sselung PVP 2.1 Assertion mit einem vom Service-Provider definierten Zertifikat. Um diese Funktion zu nutzen muss in den Metadaten ein zweites XML Element <code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:KeyDescriptor</code> mit dem Attribut <code>use=&quot;encryption&quot;</code> vorhanden sein (siehe <a href="./serviceprovider_metadata.xml">Beispiel</a>). In diesem Fall verwendet das Modul MOA-ID-Auth, dass in diesem Element hinterlegte Zertifikat zur Verschl&uuml;sselung der PVP 2.1 Assertion.</p>
+<p><strong>Hinweis:</strong> Fehlt im XML Element <code>md:EntitiesDescriptor/md:EntityDescriptormd:SPSSODescriptor/md:KeyDescriptor</code> das Attribut <code>use</code> wird das in diesem Element hinterlegte Zertifikat sowohl zur Pr&uuml;fung der Signatur des Authentifizierungsrequest als auch zur Verschl&uuml;sselung der PVP 2.1 Assertion verwendet.</p>
+<h2><a name="pvp21_binding" id="pvp21_binding"></a>2.3 Zugangspunkte</h2>
+<p>F&uuml;r die Kommunikation zwischen Service Provider und dem Modul MOA-ID-Auth stellt MOA-ID-Auth aktuell zwei PVP 2.1 spezifische Zugangspunkte zur Verf&uuml;gung. Detailinformationen zu den beiden Zugangspunkten (Bindings) entnehmen finden Sie in der <a href="#referenzierte_spezifikation">SAML2 Spezifikation</a>. </p>
+<ul>
+ <li><strong>POST Binding</strong>: In diesem Fall erfolgt die &Uuml;bertragung mittels http POST. Hierf&uuml;r stellt MOA-ID-Auth den folgenden Zugangspunkt zur Verf&uuml;gung.</li>
+</ul>
+<pre>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/post</pre>
+<ul>
+ <li><strong>Redirect Binding</strong>: In diesem Fall erfolgt die &Uuml;bertragung mittels eines Redirects wobei die Daten als GET Parameter in der URL enthalten sind. Hierf&uuml;r stellt MOA-ID-Auth den folgenden Zugangspunkt zur Verf&uuml;gung.</li>
+</ul>
+<pre>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/pvp2/redirect</pre>
+<p><strong>Hinweis:</strong> Die Zugangspunkte k&ouml;nnen auch direkt aus den von MOA-ID-Auth generierten Metadaten entnommen werden.</p>
+<h3><a name="pvp21_binding_request" id="pvp21_binding2"></a>2.3.1 Authentifizierungsrequest</h3>
+<p>Der Authentifizierungsrequest wird vom Service Provider erstellt und an das Modul MOA-ID-Auth &uuml;bermittelt. Zur &Uuml;bertragung, muss je nach verwendetem Binding, einer der beiden <a href="#pvp21_binding">Zugangspunkte</a> und die entsprechende Kodierung der Parameter verwendet werden.</p>
+<p>Folgende Minimalanforderungen an den Authentifizierungsrequest m&uuml;ssen erf&uuml;llt sein.</p>
+<ul>
+ <li>Der Request muss durch den Service Provider signiert sein (sie <a href="AuthRequest.xml">Beispiel</a>). Die Signatur wird durch das Modul MOA-ID-Auth mit Hilfe des in den <a href="#pvp21_metadata">Metadaten hinterlegten Zertifikats</a> validiert. Schl&auml;gt die Signaturpr&uuml;fung fehl oder ist keine Signatur vorhanden wird der Request abgewiesen und MOA-ID-Auth antwortet mit http Code <em>400</em> und der Fehlermeldung <em>NO valid protocol request received!</em>.</li>
+ <li>
+ <table border="1" cellpadding="2" class="fixedWidth">
+ <tr>
+ <td width="8%">Name</td>
+ <td width="92%"><code>saml2p:AuthnRequest/saml2:Issuer</code></td>
+ </tr>
+ <tr>
+ <td> Gebrauch</td>
+ <td>Ein Mal</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p>Der Wert dieses Elements muss den <a href="../config/config.html#konfigurationsparameter_oa_general">eindeutigen Identifier</a> enthalten der f&uuml;r diese Online-Applikation bei MOA-ID-Auth hinterlegt ist (sie <a href="AuthRequest.xml">Beispiel</a>).</p></td>
+ </tr>
+ </table>
+ </li>
+ <li>
+ <table border="1" cellpadding="2" class="fixedWidth">
+ <tr>
+ <td width="8%">Name</td>
+ <td width="92%"><code>/saml2p:AuthnRequest/@ID</code></td>
+ </tr>
+ <tr>
+ <td> Gebrauch</td>
+ <td>Ein Mal</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p>Dieses Attribut beinhaltet einen vom Service Provider generierten Identifikator f&uuml;r diesen Authentifizierungsrequest.</p></td>
+ </tr>
+ </table>
+ </li>
+</ul>
+<p>Einen Beispielrequest finden Sie <a href="AuthRequest.xml">hier</a>.</p>
+<p><strong>Hinweis:</strong> Detailinformationen finden Sie im Abschnitt <a href="#referenzierte_spezifikation">Spezifikationen</a> in der PVP 2.1 Spezifikation und der SAML2 Spezifikation.</p>
+<h3><a name="pvp21_binding_response" id="pvp21_binding3"></a>2.3.2 Authentifizierungsresponse</h3>
+<p>Nach erfolgreicher Authentifizierung antwortet das Modul MOA-ID-Auth mit einer PVP 2.1 Assertion. Zur &Uuml;bertragung der Assertion erfolgt an das in den Metadaten der Online-Applikation angegebene <em>AssertionConsumerService</em> (siehe <a href="#pvp21_metadata">Metadaten</a>).</p>
+<p>Aktuell werden vom Modul MOA-ID-Auth zwei Bindings zur &Uuml;bertragung der Assertion unterst&uuml;tzt.</p>
+<ul>
+ <li><strong>POST Binding</strong>: In diesem Fall erfolgt die &Uuml;bertragung mittels eines http POST Formulars welches aus dem Browser der BenutzerIn oder des Benutzers an den Service Provider gesendet wird..</li>
+</ul>
+<ul>
+ <li><strong>Redirect Binding</strong>: In diesem Fall erfolgt die &Uuml;bertragung mittels eines Redirects wobei die Daten als GET Parameter in der URL enthalten sind.</li>
+</ul>
+<p>Der Inhalt der Assertion unterscheidet sich je nachdem welche Attribute in den Metadaten angefordert wurden und ob w&auml;hrend des Anmeldevorgangs ein Fehler aufgetreten ist. Die nachfolgende Aufstellung gibt eine &Uuml;bersicht &uuml;ber jede Elemente die in der Assertion enthalten sind, wenn keine zus&auml;tzlichen Attribute angefordert wurden. Diese Aufstellung beschreibt jedoch nur einige markante Elemente und ist somit nicht vollst&auml;ndig. Detailinformationen zu allen Elementen und Attributen finden Sie in der PVP 2.1 oder der SAML2 Spezifikation. Eine Beispielresponse finden Sie <a href="./Assertion.xml">hier</a>. </p>
+<table border="1" cellpadding="2" class="fixedWidth">
+ <tr>
+ <td width="8%">Name</td>
+ <td width="92%"><code>/saml2p:Response/ds:Signature</code></td>
+ </tr>
+ <tr>
+ <td> Gebrauch</td>
+ <td>Ein Mal</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p>Dieses Element enth&auml;lt die Signatur, mit welchem die Assertion vom Modul MOA-ID-Auth unterschieben wurde. Das Zertifikat zur Pr&uuml;fung der Signatur wird in den Metadaten des Modules MOA-ID-Auth bereitgestellt.</p></td>
+ </tr>
+</table>
+<table border="1" cellpadding="2" class="fixedWidth">
+ <tr>
+ <td width="8%">Name</td>
+ <td width="92%"><code>/saml2p:Response/saml2p:Status/saml2p:StatusCode</code></td>
+ </tr>
+ <tr>
+ <td> Gebrauch</td>
+ <td>Ein Mal</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p>Dieses Element beinhaltet als Attribut den Status Code des Anmeldevorgangs. Nochfolgend die wichtigsten Statuscodes und eine kurze Beschreibung.</p>
+ <ul>
+ <li><em>urn:oasis:names:tc:SAML:2.0:status:Success</em>: Der Anmeldevorgang konnte Erfolgreich durchgef&uuml;hrt werden. </li>
+ <li><em>MOA-ID-Auth Fehlercode</em>: W&auml;hrenddes Anmeldevorgangs ist ein Fehler aufgetreten wobei f&uuml;r diesen Fehler in Fehlercode existiert. Zus&auml;tzlich beinhaltet der Wert dieses Elements eine kurze Fehlerbeschreibung.</li>
+ <li><em>urn:oasis:names:tc:SAML:2.0:status:Responder</em>: W&auml;hrend des Anmeldevorgangs ist ein Fehler aufgetreten wobei diesem Fehler kein Fehlercode zugeordnet ist (Allgemeiner Fehler). Zus&auml;tzlich beinhaltet der Wert dieses Elements jedoch eine kurze Fehlerbeschreibung.</li>
+ <li><em>urn:oasis:names:tc:SAML:2.0:status:NoPassive</em>: Die BenutzerIn oder der Benutzer ist aktuell keine aktive und g&uuml;ltige Single Sign-On Session mit MOA-ID-Auth. N&auml;here Details zum <em>isPassiv</em> Authentifizierungsrequest finden Sie in der PVP 2.1 oder der SAML2 Spezifikation.</li>
+ </ul></td>
+ </tr>
+</table>
+<table border="1" cellpadding="2" class="fixedWidth">
+ <tr>
+ <td width="8%">Name</td>
+ <td width="92%"><code>/saml2p:Response/saml2:Assertion/saml2:Subject/saml2:NameID</code></td>
+ </tr>
+ <tr>
+ <td> Gebrauch</td>
+ <td>Ein Mal</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p>Dieses Element beinhaltet das bereichsspezifischen Personenkennzeichen (bPK / wbPK) der authentifizierten Person.</p></td>
+ </tr>
+</table>
+<table border="1" cellpadding="2" class="fixedWidth">
+ <tr>
+ <td width="8%">Name</td>
+ <td width="92%"><code>/saml2p:Response/saml2:Assertion/saml2:Subject/saml2:NameID/@NameQualifier</code></td>
+ </tr>
+ <tr>
+ <td> Gebrauch</td>
+ <td>Ein Mal</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p>Dieses Attribut beinhaltet den Bereich des bereichsspezifikschen Personkennzeichens (bPK / wbPK)</p></td>
+ </tr>
+</table>
+<table border="1" cellpadding="2" class="fixedWidth">
+ <tr>
+ <td width="8%">Name</td>
+ <td width="92%"><code>/saml2p:Response/saml2:Assertion/saml2:Subject/saml2:SubjectConfirmation/saml2:SubjectConfirmationData/@InResponseTo</code></td>
+ </tr>
+ <tr>
+ <td> Gebrauch</td>
+ <td>Ein Mal</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p>Dieses Attribut beinhaltet den vom Service Provider im Authentifizierungsrequest generierten Identifikator.</p></td>
+ </tr>
+</table>
+<table border="1" cellpadding="2" class="fixedWidth">
+ <tr>
+ <td width="8%">Name</td>
+ <td width="92%"><code>/saml2p:Response/saml2:Assertion/saml2:Subject/saml2:SubjectConfirmation/saml2:SubjectConfirmationData/@NotOnOrAfter</code></td>
+ </tr>
+ <tr>
+ <td> Gebrauch</td>
+ <td>Ein Mal</td>
+ </tr>
+ <tr>
+ <td>Erl&auml;uterung</td>
+ <td><p>Dieses Attribut beinhaltet einen von MOA-ID-Auth ausgestellten G&uuml;ltigkeitszeitraum f&uuml;r diese Assertion. Aktuell betr&auml;gt der G&uuml;ltigkeitszeitraum f&uuml;nf Minuten ab dem Ausstellzeitpunkt.</p></td>
+ </tr>
+</table>
+<h1><a name="openid"></a>3 OpenID Connect </h1>
+<p>OpenID Connect ist ein Authentifizierungsprotkoll welches auf dem OAuth 2.0 Protokoll aufbaut. Dieses Protokoll erlaubt Online-Applikationen die Identifizierung und Authentifizierung von Benutzern, mit Hilfe des Modules MOA-ID-Auth. Der Vorteil von OpenID Connect im Vergleich zu auf SAML basierten Protokollen (PVP 2.1, SAML 1) ist der einfachere Aufbau der einzelnen Protokollnachrichten. Zusätzlich existieren einige frei Verfügbare Bibliotheken für unterschiedliche Programmiersprachen, welche OpenID Connect implementieren.</p>
+<p>Bevor OpenID Connect in Kombination mit dem Modul MOA-ID-Auth verwendet werden kann muss das Modul MOA-ID-Auth konfiguriert werden. Detailinformationen zur <a href="./../config/config.html#basisconfig_moa_id_auth_param_protocol_openid" >Allgemeinen Konfiguration</a> und zur <a href="./../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect">online-applikationsspezifischen Konfiguration</a> finden Sie im jeweiligen Abschnitt des Kapitels Konfiguration.</p>
+<p>Die nachfolgende Beschreibung gibt einen kurzen Überblick zur Verwendung des Protkolls OpenID Connect in Kombination mit dem Modul MOA-ID-Auth. Detailinformationen zu OpenID Connect entnehmen Sie bitte der aktuellen <a href="#referenzierte_spezifikation">OpenID Connect Spezifikation</a></p>
+
+<h2><a name="openid_sequenzdiagramm"></a>3.1 Ablauf einer Anmeldung mittels OpenID Connect</h2>
+<p>Die nachfolgende Abbildung zeigt das Sequenzdiagramm eines Anmeldevorgangs mittels OpenID Connect und des Modules MOA-ID-Auth als Identity Provider. Aus Gründen der Übersichtlichkeit wurden die Teile welche die Kommunikation mit der Bürgerkartenumgebung oder die Vollmachten-Auswahl betreffen bewusst nicht berücksichtigt.</p>
+
+<p><img src="openIDconnect_sequenz.png" width="1138" height="705" alt="Sequenzdiagramm OpenID Connect"></p>
+<ol>
+ <li>Der Benutzer verbindet sich zu einem Web-Portal (Service Provider) &uuml;ber das die Online-Applikation erreichbar ist. Nach der Bet&auml;tigung eines Login-Buttons wird der Anmeldevorgang ausgel&ouml;st.</li>
+ <li>Der Service Provider generiert den <a href="#openid_req_authnreq">AuchCode Request</a> und sendet diesen &uuml;ber den Browser an das Modul MOA-ID-Auth.</li>
+ <li>MOA-ID-Auth validiert den AuthCode Request.</li>
+ <li>MOA-ID-Auth leitet die BenutzerIn oder den Benutzer zur B&uuml;rgerkartenauswahl
+ <ol>
+ <li>Die BenutzerIn oder der Benutzer Authentifiziert sich mit der gew&auml;hlten Methode.</li>
+ </ol>
+ </li>
+ <li>Nach erfolgreicher Authentifizierung erzeugt MOA-ID-Auth die <a href="#openid_req_authnresp">AuthCode Response</a>.
+ <ol>
+ <li>Die AuthCode Response wird mittels Redirect an den Service Provider retourniert.</li>
+ </ol>
+ </li>
+ <li>Der Service Provider validiert die AuthCode Response.</li>
+ <li>Der Service Provider generiert den <a href="#openid_req_tokenreq">AccessToken Request</a> und sendet diesen an MOA-ID-Auth zum Abholen der Benutzerdaten.</li>
+ <li>MOA-ID-Auth validiert den AccessToken Request</li>
+ <li>MOA-ID-Auth generiert die <a href="#openid_req_tokenresp">AccessToken Response</a>
+ <ol>
+ <li>Retournierung der AccessToken Response an den Service Provider</li>
+ </ol>
+ </li>
+ <li>Validieren der AccessToken Response
+ <ol>
+ <li>Wird die Validierung g&uuml;ltig abgeschlossen kann die BenutzerIn oder der Benutzer am Service Provider angemeldet werden.</li>
+ </ol>
+ </li>
+</ol>
+<h2><a name="openid_interface"></a>3.2 Zugangspunkte</h2>
+<p>Zur Verwendung von OpenID Connect stellt das Modul MOA-ID-Auth zwei Zugangspunkte zur Kommunikation mit der Online-Applikation zur Verfügung. Diese Zugangspunkte bezeichnen die URLs unter welchen das Modul MOA-ID-Auth die entsprechenden OpenID Connect Nachrichten entgegennimmt.</p>
+<ul>
+ <li><b>AuthCode-Request:</b> <em>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth2/auth</em><br> Unter dieser URL wird der Authn Request entgegengenommen. Dieser Request startet den Authentifizierungsvorgang an der Online-Applikation. Hier finden Sie Detailinformationen zum <a href="#openid_req_authnreq"> Request </a>und zur <a href="#openid_req_authnresp">Response</a>.</li>
+ <li><b>AccessToken-Request:</b> <em>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/oauth2/token</em><br> Unter dieser URL können nach erfolgreicher Authentifizierung die eigentlichen Authentifizierungsdaten am Modul MOA-ID-Auth abgeholt werden. Hier finden Sie Detailinformationen zum <a href="#openid_req_tokenreq"> Request </a>und zur <a href="#openid_req_tokenresp">Response</a>.</li>
+</ul>
+<h2><a name="openid_requests"></a>3.3 Beschreibung der Nachrichten</h2>
+<p>Dieser Abschnitt beschreibt die einzelnen OpenID Connect spezifischen Nachrichten, welche zwischen der Online-Applikation und dem Modul MOA-ID-Auth während eines Authentifizierungsvorgangs ausgetauscht werden. Hierbei wird auch auf das Sequenzdiagramm aus <a href="#openid_sequenzdiagramm">Abschnitt 3.1</a> Bezug genommen.</p>
+
+<h3><a name="openid_req_authnreq"></a>3.2.1 AuthCode Request</h3>
+<p>Der AuthCode Request ist die Authentifizierungsanfrage einer Online-Applikation für eine BenutzerIn oder einen Benutzer.
+Folgende Parameter müssen mit dem AuthCode-Request mitgesendet werden, wobei für die Übertragung der Parameter sowohl http GET als auch http POST verwendet werden kann.</p>
+<table width="1247" border="1">
+ <tr>
+ <th width="115" scope="col">Name</th>
+ <th width="262" scope="col">Beispielwert</th>
+ <th width="848" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>client_id</td>
+ <td>https://demo.egiz.gv.at/demoportal-openID_demo</td>
+ <td>Ist der eindeutige Identifikator f&uuml;r die Online-Applikation. Dieser MUSS mit dem<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Identifikatior aus der Konfiguration</a> identisch sein.</td>
+ </tr>
+ <tr>
+ <td>response_type</td>
+ <td>code</td>
+ <td><p>R&uuml;ckgabewert des AuthCode Requests.</p>
+ <strong>Hinweis:</strong> Dieser Wert MUSS &quot;code&quot; sein.</td>
+ </tr>
+ <tr>
+ <td>redirect_uri</td>
+ <td>https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action</td>
+ <td>Die Callback-URI der Online-Applikation zu welcher die Callbacks der OAuth 2.0 Request gesendet werden. Dieser MUSS mit der<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Redirct URL aus der Konfiguration</a> identisch sein.</td>
+ </tr>
+ <tr>
+ <td>state</td>
+ <td>1425782214234</td>
+ <td>Ein von der Online-Applikation generierter Wert welcher in beiden Requests (<a href="#openid_req_authnreq">AuthCode</a> und <a href="#openid_req_tokenreq">Token</a>) gleich sein muss (ein CSRF Token) </td>
+ </tr>
+ <tr>
+ <td>scope</td>
+ <td>openID profile eID</td>
+ <td><p>Definiert welche Authentifizierungsinformationen an die Online-Applikation zur&uuml;ckgeliefert werden. </p>
+ <p>M&ouml;gliche Werte sind: <em>openId, profile, eID, eID_gov, mandate, stork</em> wobei die Werte mittels Leerzeichen kombiniert werden k&ouml;nnen. Der Wert <em>openID</em> muss immer angegeben werden. Der Inhalt der einzelnen Profile, mit Ausnahme des Profiles <em>openID</em>, kann aus der <a href="#allgemeines_attribute">&Uuml;bersicht der m&ouml;glichen Attribute</a> entnommen werden. </p>
+ <ul>
+ <li>openID:
+ <ul>
+ <li>bpk --&gt; Bereichsspezifisches Kennzeichen (bPK / wbPK)</li>
+ <li>iss --&gt; Public URP Prefix der MOA-ID Instanz</li>
+ <li>exp --&gt; Zeitliche G&uuml;ltigkeit</li>
+ <li>iat --&gt; Ausstellungszeitpunkt</li>
+ <li>auth_time --&gt; Authentifizierungszeitpunkt</li>
+ </ul>
+ </li>
+ </ul></td>
+ </tr>
+</table>
+<p>&nbsp;</p>
+<p>Nachfolgend ein Beispiel f&uuml;r einen OpenID Connect Authentifizierungsrequest an das Modul MOA-ID-Auth.</p>
+<pre>&lt;form method=&quot;get&quot; action=&quot;https://demo.egiz.gv.at/demoportal_moaid-2.0/oauth2/auth&quot;&gt;
+ &lt;input type=&quot;hidden&quot; value=&quot;code&quot; name=&quot;response_type&quot;&gt;
+ &lt;input type=&quot;hidden&quot; value=&quot;https://demo.egiz.gv.at/demoportal-openID_demo&quot; name=&quot;client_id&quot;&gt;
+ &lt;input type=&quot;hidden&quot; value=&quot;https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action&quot; name=&quot;redirect_uri&quot;&gt;
+ &lt;input type=&quot;hidden&quot; value=&quot;profile eID eID_gov mandate&quot; name=&quot;scope&quot;&gt;
+ &lt;input type=&quot;hidden&quot; value=&quot;1152547590&quot; name=&quot;state&quot;&gt;
+ &lt;input type=&quot;submit&quot; value=&quot;OpenID Connect login&quot;&gt;
+&lt;/form&gt;</pre>
+<h3><a name="openid_req_authnresp"></a>3.2.2 AuthCode Response</h3>
+<p>Das Ergebnis des AuthCode Requests wird an die <em>redirect_uri</em> der Online-Applikation gesendet. Die nachfolgenden Parameter werden dabei &uuml;bergeben.</p>
+<table width="1247" border="1">
+ <tr>
+ <th width="115" scope="col">Name</th>
+ <th width="262" scope="col">Beispielwert</th>
+ <th width="848" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>state</td>
+ <td>1425782214234</td>
+ <td>Der von der Online-Applikation generierte und im AuthCode Request &uuml;bergebene CSRF Token.</td>
+ </tr>
+ <tr>
+ <td>code</td>
+ <td>4/P7q7W91a-oMsCeLvIaQm6bTrgtp7 </td>
+ <td><p>Ein vom Modul MOA-ID-Auth generierter Wert, welcher beim Abholen des AccessTokens (AccessToken Request) wieder an MOA-ID-Auth &uuml;bergeben werden muss.</p></td>
+ </tr>
+</table>
+<p>&nbsp;</p>
+<p>Nachfolgend ein Beispiel f&uuml;r eine AuthCode Response.</p>
+<pre>https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action?state=1425782214234&amp;code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7 </pre>
+<h3><a name="openid_req_tokenreq"></a>3.2.3 AccessToken Request</h3>
+<p>Mit dem AccessToken Request k&ouml;nnen vom Service Provider der Online-Applikation die Anmeldedaten an der MOA-ID-Auth Instanz abgeholt werden. F&uuml;r die Abholung m&uuml;ssen folgende Parameter mit dem AccessToken Request an MOA-ID-Auth &uuml;bertragen werden, wobei f&uuml;r die &Uuml;bertragung der Parameter sowohl http GET als auch http POST verwendet werden kann.</p>
+<table width="1247" border="1">
+ <tr>
+ <th width="115" scope="col">Name</th>
+ <th width="262" scope="col">Beispielwert</th>
+ <th width="848" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>grant_type</td>
+ <td>authorization_code</td>
+ <td>Dieser MUSS den Wert &bdquo;authorization_code&ldquo; besitzen.</td>
+ </tr>
+ <tr>
+ <td>code</td>
+ <td>4/P7q7W91a-oMsCeLvIaQm6bTrgtp7</td>
+ <td><p>Dieser Parameter wird in der <a href="#openid_req_authnresp">AuthCode Response</a> an die Online-Applikation (Service Provider) &uuml;bertragen und muss in diesem Request wieder &uuml;bermittelt werden.</p></td>
+ </tr>
+ <tr>
+ <td>redirect_uri</td>
+ <td>https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action</td>
+ <td>Die Callback-URI der Online-Applikation zu welcher die Callbacks der OAuth 2.0 Request gesendet werden. Dieser MUSS mit der<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Redirct URL aus der Konfiguration</a> identisch sein.</td>
+ </tr>
+ <tr>
+ <td>client_id</td>
+ <td>https://demo.egiz.gv.at/demoportal-openID_demo</td>
+ <td>Ist der eindeutige Identifikator f&uuml;r die Online-Applikation. Dieser MUSS mit dem<a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect"> Identifikatior aus der Konfiguration</a> identisch sein.</td>
+ </tr>
+ <tr>
+ <td>client_secret</td>
+ <td>0adf1ec7-c2a6-4fd3-897c-456d0fb7b5cc</td>
+ <td>Das Client Password der Online-Applikation. Dieses MUSS mit dem <a href="../config/config.html#konfigurationsparameter_oa_protocol_openIDConnect">Client Password aus der Konfiguration</a> identisch sein.</td>
+ </tr>
+</table>
+<p>&nbsp;</p>
+<p>Nachfolgend ein Beispiel f&uuml;r einen AccessToken Request</p>
+<pre>&lt;form method=&quot;POST&quot; action=&quot;https://demo.egiz.gv.at/demoportal_moaid-2.0/oauth2/token&quot;&gt;
+ &lt;input type=&quot;hidden&quot; value=&quot;authorization_code&quot; name=&quot;grant_type&quot;&gt;
+ &lt;input type=&quot;hidden&quot; value=&quot;https://demo.egiz.gv.at/demoportal-openID_demo&quot; name=&quot;client_id&quot;&gt;
+ &lt;input type=&quot;hidden&quot; value=&quot;https://demo.egiz.gv.at/demoportal-openID_demo/securearea.action&quot; name=&quot;redirect_uri&quot;&gt;
+ &lt;input type=&quot;hidden&quot; value=&quot;0adf1ec7-c2a6-4fd3-897c-456d0fb7b5cc&quot; name=&quot;client_secret&quot;&gt;
+ &lt;input type=&quot;hidden&quot; value=&quot;4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&quot; name=&quot;code&quot;&gt;
+&lt;/form&gt;</pre>
+
+<h3><a name="openid_req_tokenresp"></a>3.2.4 AccessToken Response</h3>
+
+
+
+<p>Die AccessToken Response beinhaltet ein signiertes JSON-Token welches alle angeforderten (Parameter <em>scope</em> im AuthCode Request) und vorhandenen Authentifizierungsdaten beinhaltet. Dieses JSON-Token ist mit einer JSON Web Signatur von MOA-ID-Auth signiert, wobei die Signatur alle angeforderten Daten einschlie&szlig;t. Details zur Konfiguration des Signatur Zertifikats finden Sie <a href="../config/config.html#basisconfig_moa_id_auth_param_protocol_openid">hier</a>. </p>
+<table width="1247" border="1">
+ <tr>
+ <th width="115" scope="col">Name</th>
+ <th width="262" scope="col">Beispielwert</th>
+ <th width="848" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>access_token</td>
+ <td>SlAV32hkKG</td>
+ <td><p>Ein AccessToken welches f&uuml;r eine anschlie&szlig;ende Kommunikation mit MOA-ID-Auth verwendet werden kann. </p>
+ <p><strong>Hinweis:</strong> Diese Funktion wird jedoch aktuell nicht unterst&uuml;tzt.</p></td>
+ </tr>
+ <tr>
+ <td>token_type</td>
+ <td>Bearer</td>
+ <td><p>OpenID Connect spezifischer Parameter (Details entnehmen Sie bitte der <a href="#referenzierte_spezifikation">OpenID Connect Spezifikation</a>)</p></td>
+ </tr>
+ <tr>
+ <td>expires_in</td>
+ <td>3600</td>
+ <td>G&uuml;ltigkeitszeitraum der Response</td>
+ </tr>
+ <tr>
+ <td>scope</td>
+ <td>openID profile eID</td>
+ <td>Die im AuthCode Request angeforderten Profile.</td>
+ </tr>
+ <tr>
+ <td>id_token</td>
+ <td>eyJhbGciOiJSU.....</td>
+ <td>Dieses Element beinhaltet die eigentlichen Authentifizierungsdaten und ist durch eine JSON Web Signatur signiert.</td>
+ </tr>
+</table>
+<p>&nbsp;</p>
+<p>Nachfolgend ein Beispiel f&uuml;r einen AccessToken Response</p>
+<pre>{
+ &quot;access_token&quot;: &quot;SlAV32hkKG&quot;,
+ &quot;token_type&quot;: &quot;Bearer&quot;,
+ &quot;expires_in&quot;: 3600,
+ &quot;scope&quot;: &quot;openid eID&quot;
+ &quot;id_token&quot;: &quot;eyJhbGciOiJSUzI1NiIsImtpZCI6IjFlOWdkazcifQ.ewogImlzc
+ yI6ICJodHRwOi8vc2VydmVyLmV4YW1wbGUuY29tIiwKICJzdWIiOiAiMjQ4Mjg5
+ NzYxMDAxIiwKICJhdWQiOiAiczZCaGRSa3F0MyIsCiAibm9uY2UiOiAibi0wUzZ
+ fV3pBMk1qIiwKICJleHAiOiAxMzExMjgxOTcwLAogImlhdCI6IDEzMTEyODA5Nz
+ AKfQ.ggW8hZ1EuVLuxNuuIJKX_V8a_OMXzR0EHR9R6jgdqrOOF4daGU96Sr_P6q
+ Jp6IcmD3HP99Obi1PRs-cwh3LO-p146waJ8IhehcwL7F09JdijmBqkvPeB2T9CJ
+ NqeGpe-gccMg4vfKjkM8FcGvnzZUN4_KSP0aAp1tOJ1zZwgjxqGByKHiOtX7Tpd
+ QyHE5lcMiKPXfEIQILVq0pc_E2DzL7emopWoaoZTF_m0_N0YzFC6g6EJbOEoRoS
+ K5hoDalrcvRYLSrQAZZKflyuVCyixEoV9GfNQC3_osjzw2PAithfubEEBLuVVk4
+ XUVrWOLrLl0nx7RkKU8NXNHq-rvKMzqg&quot;
+} </pre>
+
+<h1><a name="saml1"></a>3 SAML 1</h1>
+<p>SAML 1 wird durch MOA-ID-Auth 2.0 auch weiterhin, aus Gr&uuml;nden der Abw&auml;rtskompatibilit&auml;t, als Authentifizierungsprotokoll unterst&uuml;tzt. Es wird jedoch der Umstieg auf ein aktuelles Authentifizierungsprotokoll wie PVP 2.1 oder OpenID Connect empfohlen.</p>
+<p>Die nachfolgenden Abschnitte beschreiben den Anmeldevorgang unter Verwendung von SAML1 wobei die Funktionalit&auml;t, wie sie aus MOA-ID &lt;= 1.5.1 bekannt ist, auch weiterhin unterst&uuml;tzt wird (B&uuml;rgerkartenauswahl auf Seiten des Service Provider). Zus&auml;tzlich steht f&uuml;r SAML 1 jedoch auch die Funktionalit&auml;t der automatischen Generierung der B&uuml;rgerkartenauswahl durch das Modul MOA-ID-Auth zur Verf&uuml;gung.</p>
+<h2><a name="saml1_sequence" id="saml1_sequence"></a>3.1 Ablauf einer Anmeldung mittels SAML 1</h2>
+<p>Die nachfolgende Abbildung zeigt das Sequenzdiagramm eines Anmeldevorgangs mittels SAML 1 und des Modules MOA-ID-Auth als Identity Provider. Hierbei wird die aus MOA-ID 1.5.1 bekannte Variante der B&uuml;rgerkartenauswahl beim Service Provider verwenden. Aus Gr&uuml;nden der &Uuml;bersichtlichkeit wurden die Teile welche die Kommunikation mit der B&uuml;rgerkartenumgebung oder die Vollmachten-Auswahl betreffen bewusst nicht ber&uuml;cksichtigt.</p>
+<p><img src="saml1_sequence.png" width="936" height="592" alt="Sequenzdiagramm f&uuml;r SAML 1"></p>
+<ol>
+ <li>Der Benutzer verbindet sich zu einem Web-Portal (Service Provider) &uuml;ber das die Online-Applikation erreichbar ist. </li>
+ <li>Der Service Provider antwortet mit einer &ouml;ffentlichen Portalseite welche einen Login Bereich mit B&uuml;rgerkartenauswahl beinhaltet.</li>
+ <li>Nach Auswahl der gew&uuml;nschten Authentifizierungsmethode (B&uuml;rgerkarte oder Handy-Signatur) wird der Anmeldevorgang ausgel&ouml;st und der StartAuthentication Request wird an das Modul MOA-ID-Auth gesendet.</li>
+ <li>MOA-ID-Auth validiert den StartAuthentication Request. Ist die Validierung erfolgreich wird der Anmeldevorgang vorgesetzt.</li>
+ <li>Die BenutzerIn oder der Benutzer wird zur gew&auml;hlten B&uuml;rgerkartenumgebung weitergeleitet.
+ <ol>
+ <li>Die BenutzerIn oder der Benutzer Authentifiziert sich mit der gew&auml;hlten Methode.</li>
+ </ol>
+ </li>
+ <li>War die Authentifizierung der BenutzerIn oder des Benutzers erfolgreich generiert MOA-ID-Auth die Assertion mit den Anmeldedaten des Benutzers.</li>
+ <li>MOA-ID-Auth senden das SAML 1 Artifact, welches zur Abholung der Assertion verwendet werden kann, &uuml;ber den Browser an den Service Provider.</li>
+ <li>Der Service Provider stellt einen GetAuthenticationData Request an MOA-ID-Auth unter Verwendung des zuvor &uuml;bermittelten Artifacts.</li>
+ <li>MOA-ID-Auth validiert das Artifact. Ist die Validierung erfolgreich antwortet MOA-ID-Auth mit der SAML 1 Assertion, welche die Anmeldedaten beinhaltet. </li>
+ <li>Der Service Provider verarbeitet die Assertion und danach ist der Benutzer an der Online-Applikation angemeldet.</li>
+</ol>
+<h2><a name="saml1_zugang" id="saml1_zugang"></a>3.2 Zugangspunkte</h2>
+<p>Zur Verwendung von SAML 1 stellt das Modul MOA-ID-Auth zwei Zugangspunkte zur Kommunikation mit der Online-Applikation (Service Provider) zur Verf&uuml;gung. Diese Zugangspunkte bezeichnen die URLs unter welchen das Modul MOA-ID-Auth die entsprechenden SAML1 Nachrichten entgegennimmt.</p>
+<ul>
+ <li><strong>StartAuthentication Request:</strong> <em>https://&lt;host&gt;:&lt;port&gt;/moa-id-auth/StartAuthentication</em><br>
+ Unter dieser URL wird der Authn Request entgegengenommen. Dieser Request startet den Authentifizierungsvorgang an der Online-Applikation.</li>
+ <li><strong>GetAuthenticationData:</strong> <em>http(s)://&lt;host&gt;:&lt;port&gt;/moa-id-auth/services/GetAuthenticationData</em><br>
+ Unter dieser URL k&ouml;nnen nach erfolgreicher Authentifizierung die eigentlichen Authentifizierungsdaten am Modul MOA-ID-Auth abgeholt werden.</li>
+</ul>
+<h2><a name="saml1_startauth" id="saml1_zugang2"></a>3.3 StartAuthentication Request</h2>
+<p>MOA-ID-Auth wird immer durch eine andere (verweisende) Webseite aufgerufen. Diese Webseite kann z.B. Teil eines Portals sein. Der Aufruf erfolgt durch einen Verweis der Form, wobei die Parameter sowohl als http GET als auch als http POST an MOA-ID-Auth &uuml;bergeben werden k&ouml;nnen.</p>
+<pre>&lt;a href="https://&lt;moa-id-server-und-pfad&gt;/StartAuthentication
+ ?Target=&lt;gesch&auml;ftsbereich&gt;
+ &amp;OA=&lt;oa-url&gt;
+ &amp;bkuURI=&lt;bku-url&gt;
+ &amp;Template=&lt;template-url&gt;
+ &amp;useMandate=false
+ &amp;CCC=&lt;ccc&gt;"&gt;</pre>
+<table width="1247" border="1">
+ <tr>
+ <th width="170" scope="col">Name</th>
+ <th width="221" scope="col">Beispielwert</th>
+ <th width="834" scope="col">Beschreibung</th>
+ </tr>
+ <tr>
+ <td>&lt;moa-id-server-und-pfad&gt;</td>
+ <td>https://demo.egiz.gv.at/<br>
+ demoportal_moaid-2.0/</td>
+ <td><p>Server und Pfad, wo MOA-ID-AUTH installiert ist</p></td>
+ </tr>
+ <tr>
+ <td>Target=&lt;gesch&auml;ftsbereich&gt;</td>
+ <td>BF</td>
+ <td><p>Angabe, f&uuml;r welches Verfahren (&ouml;ffentlicher Bereich) der Benutzer authentisiert werden soll. Dieser Parameter wird jedoch durch den in entsprechenden Parameter in der <a href="./../config/config.html#konfigurationsparameter_oa_general_public">online-applikationsspezifischen Konfiguration</a> &uuml;berschrieben.</p></td>
+ </tr>
+ <tr>
+ <td>OA=&lt;oa-url&gt;</td>
+ <td>https://demo.egiz.gv.at/demoportal-demologin/securearea.action</td>
+ <td>Webseite, auf die der Browser nach erfolgter Authentisierung weitergeleitet werden soll</td>
+ </tr>
+ <tr>
+ <td>bkuURI=&lt;bku-url&gt;</td>
+ <td>https://127.0.0.1:3496/https-security-layer-request</td>
+ <td><p>URL auf die B&uuml;rgerkartenumgebung, welche f&uuml;r die Authentifizierung der BenutzerIn oder des Benutzers verwendet werden soll. </p>
+ <p><strong>Hinweis:</strong> Wird dieser Parameter nicht &uuml;bertragen, antwortet das Modul MOA-ID-Auth mit einem bei MOA-ID-Auth hinterlegten B&uuml;rgerkartentemplate.</p></td>
+ </tr>
+ <tr>
+ <td>Template=&lt;template-url&gt;</td>
+ <td>https://demo.egiz.gv.at/moa-id-auth/template_onlineBKU.html</td>
+ <td><strong>Optional:</strong> URL auf die HTML Vorlage f&uuml;r den Security-Layer Request, welcher f&uuml;r die Kommunikation mit der B&uuml;rgerkartenumgebung verwendet wird. Die URL muss in der online-applikationsspezifischen Konfiguration von MOA-ID-Auth hinterlegt werden (<a href="./../config/config.html#konfigurationsparameter_oa_bku">siehe Parameter <em>SecurityLayerTemplates</em></a>).<br>
+ Ist dieser Parameter nicht vorhanden, verwendet MOA-ID-Auth das f&uuml;r diese Online-Applikation hinterlegten Security-Layer Template (<a href="./../config/config.html#konfigurationsparameter_oa_bku">siehe Parameter <em>SecurityLayerTemplates</em></a>).</td>
+ </tr>
+ <tr>
+ <td>useMandate=&lt;true/false&gt;</td>
+ <td>true / false</td>
+ <td><strong>Optional:</strong> Gibt an ob eine Anmeldung im Online-Vollmachten-Modus durchgef&uuml;hrt werden soll (=true) oder nicht (=false);</td>
+ </tr>
+ <tr>
+ <td>CCC=&lt;ccc&gt;</td>
+ <td>BE, SI, </td>
+ <td><strong>Optional:</strong> Gibt an ob die Anmeldung mittels STORK im angegebenen Land erfolgen soll. Die Angabe erfolgt mit dem L&auml;ndercode (Bsp: PT, LU, ES, ...) des jeweiligen Landes.</td>
+ </tr>
+ <tr>
+ <td>sourceID=&lt;xxxxxxx&gt;</td>
+ <td>abcdef141245</td>
+ <td><strong>Optional:</strong> Die sourceID flie&szlig;t in die Genierung des SAML1 Artifacts, welches an den Service Provider returniert wird, ein. Detailinformationen zur Genierierung des SAML1 Artifacts und zur sourceID finden Sie in der <a href="#referenzierte_spezifikation">SAML1 Spezifikation</a>.</td>
+ </tr>
+</table>
+<h2><a name="saml1_getassertion" id="saml1_zugang3"></a>3.4 GetAuthenticationData Request</h2>
+<p>Nach erfolgter Authentisierung stehen in MOA-ID-AUTH Anmeldedaten zum Abholen bereit, und MOA-ID-AUTH veranlasst einen Redirect zur Online-Applikation (OA). <br>
+ <br>
+In diesem Redirect werden der Gesch&auml;ftsbereich und ein SAML-Artifact als Parameter &uuml;bergeben. </p>
+<pre>&lt;a href="https://&lt;oa-url&gt;?Target=&lt;gesch&auml;ftsbereich&gt;&amp;SAMLArtifact=&lt;saml-artifact&gt;"&gt;</pre>
+<table border="1">
+ <tbody valign="baseline">
+ <tr>
+ <td>oa-url&gt;</td>
+ <td>URL, der beim Aufruf von MOA-ID-AUTH als Parameter "OA" &uuml;bergeben wurde</td>
+ </tr>
+ <tr>
+ <td>Target=&lt;gesch&auml;ftsbereich&gt;</td>
+ <td>Parameter, der beim Aufruf von MOA-ID-AUTH &uuml;bergeben wurde</td>
+ </tr>
+ <tr>
+ <td>SAMLArtifact=&lt;saml-artifact&gt;</td>
+ <td>SAML-Artifact, das von MOA-ID-AUTH zu den Anmeldedaten erstellt wurde. Mithilfe dieses SAML-Artifacts kann die OA die Anmeldedaten von MOA-ID-AUTH abholen.</td>
+ </tr>
+ </tbody>
+</table>
+<p>&nbsp;</p>
+<p>Der Service Provider kann anschlie&szlig;end die Assertion, welche die Anmeldedaten oder eine Fehlermeldung beinhaltet, unter Verwendung des SAMLArtifact, am Modul MOA-ID-Auth abholen.</p>
+<p>Das MOA-ID-AUTH Web Service wird &uuml;ber einen &lt;samlp:Request&gt; aufgerufen. Der &lt;samlp:Request&gt; enth&auml;lt in einem &lt;samlp:AssertionArtifact&gt; das von MOA-ID-AUTH &uuml;bergebene SAML-Artifact. <br>
+ <br>
+MOA-ID-AUTH liefert als Antwort einen &lt;samlp:Response&gt;. Die Anmeldedaten sind im &lt;samlp:Response&gt; in Form einer &lt;saml:Assertion&gt; enthalten. </p>
+<ul>
+ <li> <a href="file:///D:/Projekte/svn/moa-id/moa-idspss/id/server/doc/cs-sstc-schema-protocol-01.xsd">SAML 1.0 Protocol Schema</a> <br>
+ </li>
+ <li> <a href="file:///D:/Projekte/svn/moa-id/moa-idspss/id/server/doc/cs-sstc-schema-assertion-01.xsd">SAML 1.0 Assertion Schema</a></li>
+</ul>
+<p>Der detaillierte Aufbau der &lt;saml:Assertion&gt; zu den Anmeldedaten ist in der <a href="file:///D:/Projekte/svn/moa-id/moa-idspss/id/server/doc/MOA_ID_1.4_20070306.pdf">Spezifikation MOA-ID 1.4</a> beschrieben. </p>
+<h1><a name="referenzierte_spezifikation" id="uebersicht_zentraledatei_aktualisierung30"></a>A Referenzierte Spezifikation</h1>
+<table class="fixedWidth" border="1" cellpadding="2">
+ <tbody>
+ <tr>
+ <th>Spezifikation</th>
+ <th>Link</th>
+ </tr>
+ <tr id="sl">
+ <td><p>Security Layer Spezifikation V1.2.0</p></td>
+ <td><a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/">http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20140114/</a></td>
+ </tr>
+ <tr>
+ <td>PVP 2.1 S-Profil Spezifikation</td>
+ <td><a href="http://reference.e-government.gv.at/uploads/media/PVP2-S-Profil_2_0_0_a-2011-08-31.pdf">http://reference.e-government.gv.at/uploads/media/PVP2-S-Profil_2_0_0_a-2011-08-31.pdf</a></td>
+ </tr>
+ <tr>
+ <td>OpenID Connect</td>
+ <td><a href="http://openid.net/connect/">http://openid.net/connect/</a></td>
+ </tr>
+ <tr>
+ <td>STORK 2</td>
+ <td>@TODO Link</td>
+ </tr>
+ <tr>
+ <td>Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0</td>
+ <td><a href="#http://docs.oasis-open.org/security/saml/v2.0/saml-metadata-2.0-os.pdf">http://docs.oasis-open.org/security/saml/v2.0/saml-metadata-2.0-os.pdf</a></td>
+ </tr>
+ <tr>
+ <td>Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0</td>
+ <td><a href="http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf">http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf</a></td>
+ </tr>
+ <tr>
+ <td>Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V1.1</td>
+ <td><a href="https://www.oasis-open.org/committees/download.php/3406/oasis-sstc-saml-core-1.1.pdf">https://www.oasis-open.org/committees/download.php/3406/oasis-sstc-saml-core-1.1.pdf</a></td>
+ </tr>
+ </tbody>
+</table>
+</body>
+</html>
diff --git a/id/server/doc/handbook/protocol/pvp21_sequence.png b/id/server/doc/handbook/protocol/pvp21_sequence.png
new file mode 100644
index 000000000..c915531cc
--- /dev/null
+++ b/id/server/doc/handbook/protocol/pvp21_sequence.png
Binary files differ
diff --git a/id/server/doc/handbook/protocol/saml1_sequence.png b/id/server/doc/handbook/protocol/saml1_sequence.png
new file mode 100644
index 000000000..e863d74c1
--- /dev/null
+++ b/id/server/doc/handbook/protocol/saml1_sequence.png
Binary files differ
diff --git a/id/server/doc/handbook/protocol/serviceprovider_metadata.xml b/id/server/doc/handbook/protocol/serviceprovider_metadata.xml
new file mode 100644
index 000000000..15e26469c
--- /dev/null
+++ b/id/server/doc/handbook/protocol/serviceprovider_metadata.xml
@@ -0,0 +1,95 @@
+<?xml version="1.0" encoding="UTF-8"?>
+<md:EntitiesDescriptor ID="_0cbf225d6ad76137212e9ae278137c91" Name="MOA-ID 2.x Configuration Tool">
+ <ds:Signature>
+ <ds:SignedInfo>
+ <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
+ <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
+ <ds:Reference URI="#_0cbf225d6ad76137212e9ae278137c91">
+ <ds:Transforms>
+ <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
+ <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
+ </ds:Transforms>
+ <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
+ <ds:DigestValue>xLFVU7fH3+IC84vAuSZTP7+oeGk=</ds:DigestValue>
+ </ds:Reference>
+ </ds:SignedInfo>
+ <ds:SignatureValue>d1GD51DilpbwQdL9BONrhQS9zeydpWw8r/DKp/k5nLDQ6Tpw+OQgqYWvsMcnMgrltJa/4Q326fEf6HdFbLfrHSij8Nfx8i2idJ9JUwpj1R2GE0eo+8NXvJ/1H9Nf0pPjZ35MXQ9bC2fN/HnPalRaJSd9gCk/hW/KtB0r4qODkppz0hHplIKs7kqDnzd7ZT7golGI801N6DwzJ3jW8U26OOhzXtCbTsDdZE5gvA34kH5EDaa9RMx2JIPqBjzvDAE7oylKg2VcQdpJ1xLEi3zOF2kvgTLi6+CLHbQDc1JKcWJ10FC9yATT7poHJOgjoZ8Vt5QZJ12PKJ1NnopwcsvJ4g==</ds:SignatureValue>
+ </ds:Signature>
+ <md:EntityDescriptor entityID="https://demo.egiz.gv.at/moa-id-configuration/">
+ <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
+ <md:KeyDescriptor use="signing">
+ <ds:KeyInfo>
+ <ds:X509Data>
+ <ds:X509Certificate>MIIDhTCCAm2gAwIBAgIEUflpdjANBgkqhkiG9w0BAQsFADBzMRAwDgYDVQQGEwdVbmtub3duMRAw
+DgYDVQQIEwdVbmtub3duMRAwDgYDVQQHEwdVbmtub3duMRAwDgYDVQQKEwdVbmtub3duMRAwDgYD
+VQQLEwdVbmtub3duMRcwFQYDVQQDEw5QVlAgU2FtcGxlIElEUDAeFw0xMzA1MDIwODE5MDlaFw0x
+MzA3MzEwODE5MDlaMHMxEDAOBgNVBAYTB1Vua25vd24xEDAOBgNVBAgTB1Vua25vd24xEDAOBgNV
+BAcTB1Vua25vd24xEDAOBgNVBAoTB1Vua25vd24xEDAOBgNVBAsTB1Vua25vd24xFzAVBgNVBAMT
+DlBWUCBTYW1wbGUgSURQMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAmWrWy07+hO2V
+oMeOHpizN3qU2cL2e3EkzAkowmG+OpsR3UpI0dvolRuzaxDPUeANfE913KPempsT3cOKGS5IIBmx
+PgZM1H7EcEPVS2PYimMr1HztBMJMGAdFVFeVFsgdYP4cbwPUs03/E6kVmN7/C+vMyRPMD7i83YL8
+/IHChymZ5aJTsRXUpM0TjQQPBQbnnHVWzjcUJ9z9KataS/KpUUM8iSWk73u/gWOs3vbQLoro80xj
+LsSdXyJ9dVTCTwCpdP5UJPlsNLg1F7AU+OHwem76rezI0JJZhHUMg6v1xWzh8XycI6CizpD6RmkM
+XfICbFD8TR5zcNBieH/yNQeAEwIDAQABoyEwHzAdBgNVHQ4EFgQUoLaHuWuxRrEh37oIQ0GzfDpy
+h4MwDQYJKoZIhvcNAQELBQADggEBAAaAJVSji/OMCUZtSSIYM37go1+JLSamSkkftbkKmMWGBeKj
+i9ndilpFY/Fbslt+lUueOyd5VawWPYorQBksyJH7glmQexMzEbwqPR8t+++Dq5+mj/XjXrYHlPej
+FvCMy5kElxXczIQZmsutGtamreyAMpFMa3T2pU5tuVNwSbe754dOztaX6E92IGZtApKIHm/uLU75
+JQkTWhP9I3DaNX593VYPkeAoYxzaX1ElE2HFs4ELRzMXa0joTaGLyZ6LdLcK1bR3um9OywHWeiab
+xtSAML1SoKfTcmzWCpb0yFhfOUKXyw+SikBAkiQruMK8PcboY9VFrKUSzKHBvnDC4U4=</ds:X509Certificate>
+ </ds:X509Data>
+ </ds:KeyInfo>
+ </md:KeyDescriptor>
+ <md:KeyDescriptor use="encryption">
+ <ds:KeyInfo>
+ <ds:X509Data>
+ <ds:X509Certificate>MIIELTCCAxWgAwIBAgIJALF/kMqjWCxQMA0GCSqGSIb3DQEBCwUAMGwxCzAJBgNVBAYTAkFUMRMw
+EQYDVQQIEwpTb21lLVN0YXRlMQ0wCwYDVQQHEwRHcmF6MQ0wCwYDVQQKEwRFR0laMSowKAYDVQQD
+EyFNT0EtSUQtQ29uZmlndXJhdGlvbiAoRW5jcnlwdGlvbikwHhcNMTQwMTIxMDkzMDIzWhcNMTUw
+MTIxMDkzMDIzWjBsMQswCQYDVQQGEwJBVDETMBEGA1UECBMKU29tZS1TdGF0ZTENMAsGA1UEBxME
+R3JhejENMAsGA1UEChMERUdJWjEqMCgGA1UEAxMhTU9BLUlELUNvbmZpZ3VyYXRpb24gKEVuY3J5
+cHRpb24pMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAr+5eXUViI2d/KLqfej29BNeD
+DiDzhWlpAViPconGsEDHrXFNeSd3DTuJKH6x06wrpGfvtTh91ThId0R0hthS82aaKTlW1SgX/Rps
+5VlmiNXQty8/UrrnqAsIO65jbsy41EXTDVrnDbg5WmK2xsowk7d4jUE4cdk3VKu07Kzg9ZiQHz8V
+WMmGGPIXVs87+wgjq68tvo3+Nk5fcKPyV4ff2oc5/muxjavGdAIDJV2E/dDHwM3fbNFXk5OAse2V
+8/vmHCm0bzVOP+V5vNxp1r8myZ914WYFt0WJL4/oyyrerGK6gqGdkLcGfMutaJvBxV+hNIMGLWMc
+6LjCWVARIXvHyQIDAQABo4HRMIHOMB0GA1UdDgQWBBR9aJK1JouIYwcn2ycQUsPv4Q8BaDCBngYD
+VR0jBIGWMIGTgBR9aJK1JouIYwcn2ycQUsPv4Q8BaKFwpG4wbDELMAkGA1UEBhMCQVQxEzARBgNV
+BAgTClNvbWUtU3RhdGUxDTALBgNVBAcTBEdyYXoxDTALBgNVBAoTBEVHSVoxKjAoBgNVBAMTIU1P
+QS1JRC1Db25maWd1cmF0aW9uIChFbmNyeXB0aW9uKYIJALF/kMqjWCxQMAwGA1UdEwQFMAMBAf8w
+DQYJKoZIhvcNAQELBQADggEBAFSMmGNTAhDfoadFz0SrMDLjrPGIGjanbijLTOEURZYJiB4sQxa8
+3H6FNy1zvfzmPnrdbFr15w/6KgF9YP/0/JMUalrhm1JKWBY4TqJcG2BumAUcLSdsHOsezRi5E14s
+WF2sNRa8C0LkfMfCW/wBCLXPn68XhQW7MuGgpEVrRenXQ3hwSykNiKq4vfn8tg+1hKwlrM3pbQQw
+7YmXUm9TnHmkvJfZJEgSiFiLUjc1HxUFNl23PGjKJ1GxDerS7pBHG23KkVZTacuKM/MjVfFeFQJ4
+8JcRJUO0HuM6O1v/1sumtq/4wrKYo5I5LZPRuEKGNFme9hi/1BQT9bK9roZlxH0=</ds:X509Certificate>
+ </ds:X509Data>
+ </ds:KeyInfo>
+ </md:KeyDescriptor>
+ <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
+ <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
+ <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
+ <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://demo.egiz.gv.at/moa-id-configuration/pvp2login.action" index="0"/>
+ <md:AttributeConsumingService index="0" isDefault="true">
+ <md:ServiceName xml:lang="de">Default Service</md:ServiceName>
+ <md:RequestedAttribute FriendlyName="PVP-VERSION" Name="urn:oid:1.2.40.0.10.2.1.1.261.10" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
+ <md:RequestedAttribute FriendlyName="PRINCIPAL-NAME" Name="urn:oid:1.2.40.0.10.2.1.1.261.20" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
+ <md:RequestedAttribute FriendlyName="GIVEN-NAME" Name="urn:oid:2.5.4.42" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
+ <md:RequestedAttribute FriendlyName="BIRTHDATE" Name="urn:oid:1.2.40.0.10.2.1.1.55" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
+ <md:RequestedAttribute FriendlyName="BPK" Name="urn:oid:1.2.40.0.10.2.1.1.149" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
+ <md:RequestedAttribute FriendlyName="EID-CITIZEN-QAA-LEVEL" Name="urn:oid:1.2.40.0.10.2.1.1.261.94" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
+ <md:RequestedAttribute FriendlyName="EID-ISSUING-NATION" Name="urn:oid:1.2.40.0.10.2.1.1.261.32" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
+ <md:RequestedAttribute FriendlyName="EID-SECTOR-FOR-IDENTIFIER" Name="urn:oid:1.2.40.0.10.2.1.1.261.34" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="true"/>
+ <md:RequestedAttribute FriendlyName="MANDATE-TYPE" Name="urn:oid:1.2.40.0.10.2.1.1.261.68" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
+ <md:RequestedAttribute FriendlyName="MANDATOR-LEGAL-PERSON-FULL-NAME" Name="urn:oid:1.2.40.0.10.2.1.1.261.84" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
+ <md:RequestedAttribute FriendlyName="MANDATOR-LEGAL-PERSON-SOURCE-PIN" Name="urn:oid:1.2.40.0.10.2.1.1.261.100" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
+ <md:RequestedAttribute FriendlyName="MANDATOR-LEGAL-PERSON-SOURCE-PIN-TYPE" Name="urn:oid:1.2.40.0.10.2.1.1.261.76" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
+ <md:RequestedAttribute FriendlyName="MANDATOR-NATURAL-PERSON-BIRTHDATE" Name="urn:oid:1.2.40.0.10.2.1.1.261.82" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
+ <md:RequestedAttribute FriendlyName="MANDATOR-NATURAL-PERSON-BPK" Name="urn:oid:1.2.40.0.10.2.1.1.261.98" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
+ <md:RequestedAttribute FriendlyName="MANDATOR-NATURAL-PERSON-FAMILY-NAME" Name="urn:oid:1.2.40.0.10.2.1.1.261.80" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
+ <md:RequestedAttribute FriendlyName="MANDATOR-NATURAL-PERSON-GIVEN-NAME" Name="urn:oid:1.2.40.0.10.2.1.1.261.78" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
+ <md:RequestedAttribute FriendlyName="MANDATE-REFERENCE-VALUE" Name="urn:oid:1.2.40.0.10.2.1.1.261.90" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
+ <md:RequestedAttribute FriendlyName="MANDATOR-PROF-REP-OID" Name="urn:oid:1.2.40.0.10.2.1.1.261.86" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
+ <md:RequestedAttribute FriendlyName="MANDATOR-PROF-REP-DESCRIPTION" Name="urn:oid:1.2.40.0.10.2.1.1.261.88" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" isRequired="false"/>
+ </md:AttributeConsumingService>
+ </md:SPSSODescriptor>
+ </md:EntityDescriptor>
+</md:EntitiesDescriptor>
diff --git a/id/server/doc/handbook/protocol/sso_sequence.png b/id/server/doc/handbook/protocol/sso_sequence.png
new file mode 100644
index 000000000..19e50100d
--- /dev/null
+++ b/id/server/doc/handbook/protocol/sso_sequence.png
Binary files differ
diff --git a/id/server/doc/old/MOA ID 1.x.wsdl b/id/server/doc/handbook/spec/MOA ID 1.x.wsdl
index 4d1c8d71d..d83556540 100644
--- a/id/server/doc/old/MOA ID 1.x.wsdl
+++ b/id/server/doc/handbook/spec/MOA ID 1.x.wsdl
@@ -1,41 +1,41 @@
-<?xml version="1.0" encoding="UTF-8"?>
-<!-- edited with XML Spy v4.4 U (http://www.xmlspy.com) by patrick peck (anecon) -->
-<definitions name="MOA" targetNamespace="http://reference.e-government.gv.at/namespace/moa/20020822#" xmlns="http://schemas.xmlsoap.org/wsdl/" xmlns:tns="http://reference.e-government.gv.at/namespace/moa/20020822#" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns:samlp="urn:oasis:names:tc:SAML:1.0:protocol" xmlns:moa="http://reference.e-government.gv.at/namespace/moa/20020822#" xmlns:xsd="http://www.w3.org/1999/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/wsdl/ http://schemas.xmlsoap.org/wsdl/">
- <import namespace="http://reference.e-government.gv.at/namespace/moa/20020822#" location="MOA-SPSS-2.0.0.xsd"/>
- <message name="GetAuthenticationDataInput">
- <part name="body" element="samlp:Request"/>
- </message>
- <message name="GetAuthenticationDataOutput">
- <part name="body" element="samlp:Response"/>
- </message>
- <message name="MOAFault">
- <part name="body" element="moa:ErrorResponse"/>
- </message>
- <portType name="IdentificationPortType">
- <operation name="getAuthenticationData">
- <input message="tns:GetAuthenticationDataInput"/>
- <output message="tns:GetAuthenticationDataOutput"/>
- <fault name="MOAFault" message="tns:MOAFault"/>
- </operation>
- </portType>
- <binding name="IdentificationBinding" type="tns:IdentificationPortType" xsi:schemaLocation="http://schemas.xmlsoap.org/wsdl/soap/ http://schemas.xmlsoap.org/wsdl/soap/">
- <soap:binding style="document" transport="http://schemas.xmlsoap.org/soap/http"/>
- <operation name="getAuthenticationData">
- <soap:operation soapAction="urn:GetAuthenticationDataAction"/>
- <input>
- <soap:body use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
- </input>
- <output>
- <soap:body use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
- </output>
- <fault name="MOAFault">
- <soap:fault name="MOAFault" use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
- </fault>
- </operation>
- </binding>
- <service name="GetAuthenticationDataService">
- <port name="IdentificationPort" binding="tns:IdentificationBinding">
- <soap:address location="http://localhost/Identification"/>
- </port>
- </service>
-</definitions>
+<?xml version="1.0" encoding="UTF-8"?>
+<!-- edited with XML Spy v4.4 U (http://www.xmlspy.com) by patrick peck (anecon) -->
+<definitions name="MOA" targetNamespace="http://reference.e-government.gv.at/namespace/moa/20020822#" xmlns="http://schemas.xmlsoap.org/wsdl/" xmlns:tns="http://reference.e-government.gv.at/namespace/moa/20020822#" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns:samlp="urn:oasis:names:tc:SAML:1.0:protocol" xmlns:moa="http://reference.e-government.gv.at/namespace/moa/20020822#" xmlns:xsd="http://www.w3.org/1999/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/wsdl/ http://schemas.xmlsoap.org/wsdl/">
+ <import namespace="http://reference.e-government.gv.at/namespace/moa/20020822#" location="MOA-SPSS-2.0.0.xsd"/>
+ <message name="GetAuthenticationDataInput">
+ <part name="body" element="samlp:Request"/>
+ </message>
+ <message name="GetAuthenticationDataOutput">
+ <part name="body" element="samlp:Response"/>
+ </message>
+ <message name="MOAFault">
+ <part name="body" element="moa:ErrorResponse"/>
+ </message>
+ <portType name="IdentificationPortType">
+ <operation name="getAuthenticationData">
+ <input message="tns:GetAuthenticationDataInput"/>
+ <output message="tns:GetAuthenticationDataOutput"/>
+ <fault name="MOAFault" message="tns:MOAFault"/>
+ </operation>
+ </portType>
+ <binding name="IdentificationBinding" type="tns:IdentificationPortType" xsi:schemaLocation="http://schemas.xmlsoap.org/wsdl/soap/ http://schemas.xmlsoap.org/wsdl/soap/">
+ <soap:binding style="document" transport="http://schemas.xmlsoap.org/soap/http"/>
+ <operation name="getAuthenticationData">
+ <soap:operation soapAction="urn:GetAuthenticationDataAction"/>
+ <input>
+ <soap:body use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </input>
+ <output>
+ <soap:body use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </output>
+ <fault name="MOAFault">
+ <soap:fault name="MOAFault" use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </fault>
+ </operation>
+ </binding>
+ <service name="GetAuthenticationDataService">
+ <port name="IdentificationPort" binding="tns:IdentificationBinding">
+ <soap:address location="http://localhost/Identification"/>
+ </port>
+ </service>
+</definitions>
diff --git a/id/server/doc/handbook/spec/MOA-SPSS-2.0.0.wsdl b/id/server/doc/handbook/spec/MOA-SPSS-2.0.0.wsdl
new file mode 100644
index 000000000..4f9deee38
--- /dev/null
+++ b/id/server/doc/handbook/spec/MOA-SPSS-2.0.0.wsdl
@@ -0,0 +1,128 @@
+<?xml version="1.0" encoding="UTF-8"?>
+<!--
+ Web Service Description for MOA SP/SS 1.4
+-->
+<definitions xmlns="http://schemas.xmlsoap.org/wsdl/" xmlns:tns="http://reference.e-government.gv.at/namespace/moa/20020822#" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns:moa="http://reference.e-government.gv.at/namespace/moa/20020822#" xmlns:xsd="http://www.w3.org/1999/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" name="MOA" targetNamespace="http://reference.e-government.gv.at/namespace/moa/20020822#">
+ <import namespace="http://reference.e-government.gv.at/namespace/moa/20020822#" location="../resources/schemas/MOA-SPSS-2.0.0.xsd"/>
+ <message name="CreateCMSSignatureInput">
+ <part name="body" element="moa:CreateCMSSignatureRequest"/>
+ </message>
+ <message name="CreateCMSSignatureOutput">
+ <part name="body" element="moa:CreateCMSSignatureResponse"/>
+ </message>
+ <message name="CreateXMLSignatureInput">
+ <part name="body" element="moa:CreateXMLSignatureRequest"/>
+ </message>
+ <message name="CreateXMLSignatureOutput">
+ <part name="body" element="moa:CreateXMLSignatureResponse"/>
+ </message>
+ <message name="VerifyCMSSignatureInput">
+ <part name="body" element="moa:VerifyCMSSignatureRequest"/>
+ </message>
+ <message name="VerifyCMSSignatureOutput">
+ <part name="body" element="moa:VerifyCMSSignatureResponse"/>
+ </message>
+ <message name="VerifyXMLSignatureInput">
+ <part name="body" element="moa:VerifyXMLSignatureRequest"/>
+ </message>
+ <message name="VerifyXMLSignatureOutput">
+ <part name="body" element="moa:VerifyXMLSignatureResponse"/>
+ </message>
+ <message name="MOAFault">
+ <part name="body" element="moa:ErrorResponse"/>
+ </message>
+ <portType name="SignatureCreationPortType">
+ <operation name="createXMLSignature">
+ <input message="tns:CreateXMLSignatureInput"/>
+ <output message="tns:CreateXMLSignatureOutput"/>
+ <fault name="MOAFault" message="tns:MOAFault"/>
+ </operation>
+ <operation name="createCMSSignature">
+ <input message="tns:CreateCMSSignatureInput"/>
+ <output message="tns:CreateCMSSignatureOutput"/>
+ <fault name="MOAFault" message="tns:MOAFault"/>
+ </operation>
+ </portType>
+ <portType name="SignatureVerificationPortType">
+ <operation name="verifyCMSSignature">
+ <input message="tns:VerifyCMSSignatureInput"/>
+ <output message="tns:VerifyCMSSignatureOutput"/>
+ <fault name="MOAFault" message="tns:MOAFault"/>
+ </operation>
+ <operation name="verifyXMLSignature">
+ <input message="tns:VerifyXMLSignatureInput"/>
+ <output message="tns:VerifyXMLSignatureOutput"/>
+ <fault name="MOAFault" message="tns:MOAFault"/>
+ </operation>
+ </portType>
+ <binding name="SignatureCreationBinding" type="tns:SignatureCreationPortType">
+ <soap:binding style="document" transport="http://schemas.xmlsoap.org/soap/http"/>
+ <operation name="createXMLSignature">
+ <soap:operation soapAction="urn:CreateXMLSignatureAction"/>
+ <input>
+ <soap:body use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </input>
+ <output>
+ <soap:body use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </output>
+ <fault name="MOAFault">
+ <soap:fault name="" use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </fault>
+ </operation>
+ <operation name="createCMSSignature">
+ <soap:operation soapAction="urn:CreateCMSSignatureAction"/>
+ <input>
+ <soap:body use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </input>
+ <output>
+ <soap:body use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </output>
+ <fault name="MOAFault">
+ <soap:fault name="" use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </fault>
+ </operation>
+ </binding>
+ <binding name="SignatureVerificationBinding" type="tns:SignatureVerificationPortType">
+ <soap:binding style="document" transport="http://schemas.xmlsoap.org/soap/http"/>
+ <operation name="verifyCMSSignature">
+ <soap:operation soapAction="urn:VerifyCMSSignatureAction"/>
+ <input>
+ <soap:body use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </input>
+ <output>
+ <soap:body use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </output>
+ <fault name="MOAFault">
+ <soap:fault name="" use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </fault>
+ </operation>
+ <operation name="verifyXMLSignature">
+ <soap:operation soapAction="urn:VerifyXMLSignatureAction"/>
+ <input>
+ <soap:body use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </input>
+ <output>
+ <soap:body use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </output>
+ <fault name="MOAFault">
+ <soap:fault name="" use="literal" namespace="http://reference.e-government.gv.at/namespace/moa/20020822#"/>
+ </fault>
+ </operation>
+ </binding>
+ <service name="SignatureCreationService">
+ <port name="SignatureCreationPort" binding="tns:SignatureCreationBinding">
+ <!--
+ Please note that the location URL must be adapted to the actual service URL.
+ <soap:address location="http://localhost/moa-spss/services/SignatureCreation"/>
+ -->
+ </port>
+ </service>
+ <service name="SignatureVerificationService">
+ <port name="SignatureVerificationPort" binding="tns:SignatureVerificationBinding">
+ <!--
+ Please note that the location URL must be adapted to the actual service URL.
+ <soap:address location="http://localhost/moa-spss/services/SignatureVerification"/>
+ -->
+ </port>
+ </service>
+</definitions>
diff --git a/id/server/doc/handbook/spec/MOA-SPSS-2.0.0.xsd b/id/server/doc/handbook/spec/MOA-SPSS-2.0.0.xsd
new file mode 100644
index 000000000..73d145ecf
--- /dev/null
+++ b/id/server/doc/handbook/spec/MOA-SPSS-2.0.0.xsd
@@ -0,0 +1,572 @@
+<?xml version="1.0" encoding="UTF-8"?>
+<!--
+ MOA SP/SS 2.0.0 Schema
+-->
+<xsd:schema xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns="http://reference.e-government.gv.at/namespace/moa/20020822#" targetNamespace="http://reference.e-government.gv.at/namespace/moa/20020822#" elementFormDefault="qualified" attributeFormDefault="unqualified" version="1.2">
+ <xsd:import namespace="http://www.w3.org/2000/09/xmldsig#" schemaLocation="http://www.w3.org/TR/xmldsig-core/xmldsig-core-schema.xsd"/>
+ <xsd:import namespace="http://www.w3.org/XML/1998/namespace" schemaLocation="http://www.w3.org/2001/xml.xsd"/>
+ <!--########## Create CMS Signature ###-->
+ <!--### Create CMS Signature Request ###-->
+ <xsd:element name="CreateCMSSignatureRequest">
+ <xsd:complexType>
+ <xsd:complexContent>
+ <xsd:extension base="CreateCMSSignatureRequestType"/>
+ </xsd:complexContent>
+ </xsd:complexType>
+ </xsd:element>
+ <xsd:complexType name="CreateCMSSignatureRequestType">
+ <xsd:sequence>
+ <xsd:element name="KeyIdentifier" type="KeyIdentifierType"/>
+ <xsd:element name="SingleSignatureInfo" maxOccurs="unbounded">
+ <xsd:annotation>
+ <xsd:documentation>Ermöglichung der Stapelsignatur durch wiederholte Angabe dieses Elements</xsd:documentation>
+ </xsd:annotation>
+ <xsd:complexType>
+ <xsd:sequence>
+ <xsd:element name="DataObjectInfo">
+ <xsd:complexType>
+ <xsd:complexContent>
+ <xsd:extension base="CMSDataObjectInfoType"/>
+ </xsd:complexContent>
+ </xsd:complexType>
+ </xsd:element>
+ </xsd:sequence>
+ <xsd:attribute name="SecurityLayerConformity" type="xsd:boolean" use="optional" default="true"/>
+ </xsd:complexType>
+ </xsd:element>
+ </xsd:sequence>
+ </xsd:complexType>
+ <!--### Create CMS Signature Response ###-->
+ <xsd:element name="CreateCMSSignatureResponse" type="CreateCMSSignatureResponseType"/>
+ <xsd:complexType name="CreateCMSSignatureResponseType">
+ <xsd:choice maxOccurs="unbounded">
+ <xsd:annotation>
+ <xsd:documentation>Kardinalität 1..oo erlaubt die Antwort auf eine Stapelsignatur-Anfrage</xsd:documentation>
+ </xsd:annotation>
+ <xsd:element name="CMSSignature" type="xsd:base64Binary">
+ <xsd:annotation>
+ <xsd:documentation>Resultat, falls die Signaturerstellung erfolgreich war</xsd:documentation>
+ </xsd:annotation>
+ </xsd:element>
+ <xsd:element ref="ErrorResponse"/>
+ </xsd:choice>
+ </xsd:complexType>
+ <!--########## Create XML Signature ###-->
+ <!--### Create XML Signature Request ###-->
+ <xsd:element name="CreateXMLSignatureRequest">
+ <xsd:complexType>
+ <xsd:complexContent>
+ <xsd:extension base="CreateXMLSignatureRequestType"/>
+ </xsd:complexContent>
+ </xsd:complexType>
+ </xsd:element>
+ <xsd:complexType name="CreateXMLSignatureRequestType">
+ <xsd:sequence>
+ <xsd:element name="KeyIdentifier" type="KeyIdentifierType"/>
+ <xsd:element name="SingleSignatureInfo" maxOccurs="unbounded">
+ <xsd:annotation>
+ <xsd:documentation>Ermöglichung der Stapelsignatur durch wiederholte Angabe dieses Elements</xsd:documentation>
+ </xsd:annotation>
+ <xsd:complexType>
+ <xsd:sequence>
+ <xsd:element name="DataObjectInfo" maxOccurs="unbounded">
+ <xsd:complexType>
+ <xsd:complexContent>
+ <xsd:extension base="DataObjectInfoType">
+ <xsd:attribute name="ChildOfManifest" type="xsd:boolean" use="optional" default="false"/>
+ </xsd:extension>
+ </xsd:complexContent>
+ </xsd:complexType>
+ </xsd:element>
+ <xsd:element name="CreateSignatureInfo" minOccurs="0">
+ <xsd:complexType>
+ <xsd:sequence>
+ <xsd:element name="CreateSignatureEnvironment" type="ContentOptionalRefType"/>
+ <xsd:choice>
+ <xsd:annotation>
+ <xsd:documentation>Auswahl: Entweder explizite Angabe des Signaturorts sowie ggf. sinnvoller Supplements im Zshg. mit der Signaturumgebung, oder Verweis auf ein benanntes Profil</xsd:documentation>
+ </xsd:annotation>
+ <xsd:element ref="CreateSignatureEnvironmentProfile"/>
+ <xsd:element name="CreateSignatureEnvironmentProfileID" type="ProfileIdentifierType"/>
+ </xsd:choice>
+ </xsd:sequence>
+ </xsd:complexType>
+ </xsd:element>
+ </xsd:sequence>
+ <xsd:attribute name="SecurityLayerConformity" type="xsd:boolean" use="optional" default="true"/>
+ </xsd:complexType>
+ </xsd:element>
+ </xsd:sequence>
+ </xsd:complexType>
+ <!--### Create XML Signature Response ###-->
+ <xsd:complexType name="CreateXMLSignatureResponseType">
+ <xsd:choice maxOccurs="unbounded">
+ <xsd:annotation>
+ <xsd:documentation>Kardinalität 1..oo erlaubt die Antwort auf eine Stapelsignatur-Anfrage</xsd:documentation>
+ </xsd:annotation>
+ <xsd:element name="SignatureEnvironment">
+ <xsd:annotation>
+ <xsd:documentation>Resultat, falls die Signaturerstellung erfolgreich war</xsd:documentation>
+ </xsd:annotation>
+ <xsd:complexType>
+ <xsd:sequence>
+ <xsd:any namespace="##any" processContents="lax"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ </xsd:element>
+ <xsd:element ref="ErrorResponse"/>
+ </xsd:choice>
+ </xsd:complexType>
+ <xsd:element name="CreateXMLSignatureResponse" type="CreateXMLSignatureResponseType"/>
+ <!--########## Verify CMS Signature ###-->
+ <!--### Verifiy CMS Signature Request ###-->
+ <xsd:element name="VerifyCMSSignatureRequest">
+ <xsd:complexType>
+ <xsd:complexContent>
+ <xsd:extension base="VerifyCMSSignatureRequestType">
+ <xsd:attribute name="Signatories" type="SignatoriesType" use="optional" default="1"/>
+ </xsd:extension>
+ </xsd:complexContent>
+ </xsd:complexType>
+ </xsd:element>
+ <xsd:complexType name="VerifyCMSSignatureRequestType">
+ <xsd:sequence>
+ <xsd:element name="DateTime" type="xsd:dateTime" minOccurs="0"/>
+ <xsd:element name="CMSSignature" type="xsd:base64Binary"/>
+ <xsd:element name="DataObject" type="CMSDataObjectOptionalMetaType" minOccurs="0"/>
+ <xsd:element name="TrustProfileID" type="xsd:token">
+ <xsd:annotation>
+ <xsd:documentation>mit diesem Profil wird eine Menge von vertrauenswürdigen Wurzelzertifikaten spezifiziert</xsd:documentation>
+ </xsd:annotation>
+ </xsd:element>
+ </xsd:sequence>
+ </xsd:complexType>
+ <!--### Verify CMS Signature Response ###-->
+ <xsd:element name="VerifyCMSSignatureResponse" type="VerifyCMSSignatureResponseType"/>
+ <xsd:complexType name="VerifyCMSSignatureResponseType">
+ <xsd:sequence maxOccurs="unbounded">
+ <xsd:element name="SignerInfo" type="dsig:KeyInfoType">
+ <xsd:annotation>
+ <xsd:documentation>only ds:X509Data and RetrievalMethod is supported; QualifiedCertificate is included as X509Data/any;publicAuthority is included as X509Data/any; SecureSignatureCreationDevice is included as X509Data/any, IssuingCountry is included as X509Data/any</xsd:documentation>
+ </xsd:annotation>
+ </xsd:element>
+ <xsd:element name="SignatureCheck" type="CheckResultType"/>
+ <xsd:element name="CertificateCheck" type="CheckResultType"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ <!--########## Verify XML Signature ###-->
+ <!--### Verify XML Signature Request ###-->
+ <xsd:element name="VerifyXMLSignatureRequest" type="VerifyXMLSignatureRequestType"/>
+ <xsd:complexType name="VerifyXMLSignatureRequestType">
+ <xsd:sequence>
+ <xsd:element name="DateTime" type="xsd:dateTime" minOccurs="0"/>
+ <xsd:element name="VerifySignatureInfo">
+ <xsd:complexType>
+ <xsd:sequence>
+ <xsd:element name="VerifySignatureEnvironment" type="ContentOptionalRefType"/>
+ <xsd:element name="VerifySignatureLocation" type="xsd:token"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ </xsd:element>
+ <xsd:choice minOccurs="0" maxOccurs="unbounded">
+ <xsd:element ref="SupplementProfile"/>
+ <xsd:element name="SupplementProfileID" type="xsd:string"/>
+ </xsd:choice>
+ <xsd:element name="SignatureManifestCheckParams" minOccurs="0">
+ <xsd:complexType>
+ <xsd:sequence>
+ <xsd:element name="ReferenceInfo" type="VerifyTransformsDataType" maxOccurs="unbounded">
+ <xsd:annotation>
+ <xsd:documentation>Pro dsig:Reference-Element in der zu überprüfenden XML-Signatur muss hier ein ReferenceInfo-Element erscheinen. Die Reihenfolge der einzelnen ReferenceInfo Elemente entspricht jener der dsig:Reference Elemente in der XML-Signatur.</xsd:documentation>
+ </xsd:annotation>
+ </xsd:element>
+ </xsd:sequence>
+ <xsd:attribute name="ReturnReferenceInputData" type="xsd:boolean" use="optional" default="true"/>
+ </xsd:complexType>
+ </xsd:element>
+ <xsd:element name="ReturnHashInputData" minOccurs="0"/>
+ <xsd:element name="TrustProfileID" type="xsd:token">
+ <xsd:annotation>
+ <xsd:documentation>mit diesem Profil wird eine Menge von vertrauenswürdigen Wurzelzertifikaten spezifiziert</xsd:documentation>
+ </xsd:annotation>
+ </xsd:element>
+ </xsd:sequence>
+ </xsd:complexType>
+ <!--### Verify XML Signature Response ###-->
+ <xsd:element name="VerifyXMLSignatureResponse" type="VerifyXMLSignatureResponseType"/>
+ <xsd:complexType name="VerifyXMLSignatureResponseType">
+ <xsd:sequence>
+ <xsd:element name="SignerInfo" type="dsig:KeyInfoType">
+ <xsd:annotation>
+ <xsd:documentation>only ds:X509Data and ds:RetrievalMethod is supported; QualifiedCertificate is included as X509Data/any; PublicAuthority is included as X509Data/any; SecureSignatureCreationDevice is included as X509Data/any, IssuingCountry is included as X509Data/any</xsd:documentation>
+ </xsd:annotation>
+ </xsd:element>
+ <xsd:element name="HashInputData" type="InputDataType" minOccurs="0" maxOccurs="unbounded"/>
+ <xsd:element name="ReferenceInputData" type="InputDataType" minOccurs="0" maxOccurs="unbounded"/>
+ <xsd:element name="SignatureCheck" type="ReferencesCheckResultType"/>
+ <xsd:element name="SignatureManifestCheck" type="ReferencesCheckResultType" minOccurs="0"/>
+ <xsd:element name="XMLDSIGManifestCheck" type="ManifestRefsCheckResultType" minOccurs="0" maxOccurs="unbounded"/>
+ <xsd:element name="CertificateCheck" type="CheckResultType"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ <xsd:simpleType name="ProfileIdentifierType">
+ <xsd:restriction base="xsd:token"/>
+ </xsd:simpleType>
+ <xsd:complexType name="InputDataType">
+ <xsd:complexContent>
+ <xsd:extension base="ContentExLocRefBaseType">
+ <xsd:attribute name="PartOf" use="optional" default="SignedInfo">
+ <xsd:simpleType>
+ <xsd:restriction base="xsd:token">
+ <xsd:enumeration value="SignedInfo"/>
+ <xsd:enumeration value="XMLDSIGManifest"/>
+ </xsd:restriction>
+ </xsd:simpleType>
+ </xsd:attribute>
+ <xsd:attribute name="ReferringSigReference" type="xsd:nonNegativeInteger" use="optional"/>
+ </xsd:extension>
+ </xsd:complexContent>
+ </xsd:complexType>
+ <xsd:complexType name="MetaInfoType">
+ <xsd:sequence>
+ <xsd:element name="MimeType" type="MimeTypeType"/>
+ <xsd:element name="Description" type="xsd:anyURI" minOccurs="0"/>
+ <xsd:any namespace="##other" minOccurs="0" maxOccurs="unbounded"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ <xsd:complexType name="FinalDataMetaInfoType">
+ <xsd:complexContent>
+ <xsd:extension base="MetaInfoType">
+ <xsd:sequence>
+ <xsd:element name="Type" type="xsd:anyURI" minOccurs="0"/>
+ </xsd:sequence>
+ </xsd:extension>
+ </xsd:complexContent>
+ </xsd:complexType>
+ <xsd:complexType name="DataObjectInfoType">
+ <xsd:sequence>
+ <xsd:element name="DataObject">
+ <xsd:complexType>
+ <xsd:complexContent>
+ <xsd:extension base="ContentOptionalRefType"/>
+ </xsd:complexContent>
+ </xsd:complexType>
+ </xsd:element>
+ <xsd:choice>
+ <xsd:annotation>
+ <xsd:documentation>Auswahl: Entweder explizite Angabe EINER Transformationskette inklusive ggf. sinnvoller Supplements oder Verweis auf ein benanntes Profil</xsd:documentation>
+ </xsd:annotation>
+ <xsd:element ref="CreateTransformsInfoProfile"/>
+ <xsd:element name="CreateTransformsInfoProfileID" type="ProfileIdentifierType"/>
+ </xsd:choice>
+ </xsd:sequence>
+ <xsd:attribute name="Structure" use="required">
+ <xsd:simpleType>
+ <xsd:restriction base="xsd:string">
+ <xsd:enumeration value="detached"/>
+ <xsd:enumeration value="enveloping"/>
+ </xsd:restriction>
+ </xsd:simpleType>
+ </xsd:attribute>
+ </xsd:complexType>
+ <xsd:complexType name="CMSDataObjectInfoType">
+ <xsd:sequence>
+ <xsd:element name="DataObject">
+ <xsd:complexType>
+ <xsd:complexContent>
+ <xsd:extension base="CMSDataObjectRequiredMetaType"/>
+ </xsd:complexContent>
+ </xsd:complexType>
+ </xsd:element>
+ </xsd:sequence>
+ <xsd:attribute name="Structure" use="required">
+ <xsd:simpleType>
+ <xsd:restriction base="xsd:string">
+ <xsd:enumeration value="detached"/>
+ <xsd:enumeration value="enveloping"/>
+ </xsd:restriction>
+ </xsd:simpleType>
+ </xsd:attribute>
+ </xsd:complexType>
+ <xsd:complexType name="TransformsInfoType">
+ <xsd:sequence>
+ <xsd:element ref="dsig:Transforms" minOccurs="0"/>
+ <xsd:element name="FinalDataMetaInfo" type="FinalDataMetaInfoType"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ <xsd:complexType name="XMLDataObjectAssociationType">
+ <xsd:sequence>
+ <xsd:element name="MetaInfo" type="MetaInfoType" minOccurs="0"/>
+ <xsd:element name="Content" type="ContentRequiredRefType"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ <xsd:complexType name="CMSDataObjectOptionalMetaType">
+ <xsd:sequence>
+ <xsd:element name="MetaInfo" type="MetaInfoType" minOccurs="0"/>
+ <xsd:element name="Content" type="CMSContentBaseType"/>
+ <xsd:element name="ExcludedByteRange" type="ExcludedByteRangeType" minOccurs="0"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ <xsd:complexType name="CMSDataObjectRequiredMetaType">
+ <xsd:sequence>
+ <xsd:element name="MetaInfo" type="MetaInfoType"/>
+ <xsd:element name="Content" type="CMSContentBaseType"/>
+ <xsd:element name="ExcludedByteRange" type="ExcludedByteRangeType" minOccurs="0"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ <xsd:complexType name="ExcludedByteRangeType">
+ <xsd:sequence>
+ <xsd:element name="From" type="xsd:unsignedLong"/>
+ <xsd:element name="To" type="xsd:unsignedLong"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ <xsd:complexType name="CMSContentBaseType">
+ <xsd:complexContent>
+ <xsd:restriction base="ContentOptionalRefType">
+ <xsd:choice minOccurs="0">
+ <xsd:element name="Base64Content" type="xsd:base64Binary"/>
+ </xsd:choice>
+ </xsd:restriction>
+ </xsd:complexContent>
+ </xsd:complexType>
+ <xsd:complexType name="CheckResultType">
+ <xsd:sequence>
+ <xsd:element name="Code" type="xsd:nonNegativeInteger"/>
+ <xsd:element name="Info" type="AnyChildrenType" minOccurs="0"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ <xsd:complexType name="ReferencesCheckResultType">
+ <xsd:complexContent>
+ <xsd:restriction base="CheckResultType">
+ <xsd:sequence>
+ <xsd:element name="Code" type="xsd:nonNegativeInteger"/>
+ <xsd:element name="Info" type="ReferencesCheckResultInfoType" minOccurs="0"/>
+ </xsd:sequence>
+ </xsd:restriction>
+ </xsd:complexContent>
+ </xsd:complexType>
+ <xsd:complexType name="ReferencesCheckResultInfoType" mixed="true">
+ <xsd:complexContent>
+ <xsd:restriction base="AnyChildrenType">
+ <xsd:sequence>
+ <xsd:any namespace="##other" processContents="lax" minOccurs="0" maxOccurs="unbounded"/>
+ <xsd:element name="FailedReference" type="xsd:positiveInteger" minOccurs="0" maxOccurs="unbounded"/>
+ </xsd:sequence>
+ </xsd:restriction>
+ </xsd:complexContent>
+ </xsd:complexType>
+ <xsd:complexType name="ManifestRefsCheckResultType">
+ <xsd:complexContent>
+ <xsd:restriction base="CheckResultType">
+ <xsd:sequence>
+ <xsd:element name="Code" type="xsd:nonNegativeInteger"/>
+ <xsd:element name="Info" type="ManifestRefsCheckResultInfoType"/>
+ </xsd:sequence>
+ </xsd:restriction>
+ </xsd:complexContent>
+ </xsd:complexType>
+ <xsd:complexType name="ManifestRefsCheckResultInfoType" mixed="true">
+ <xsd:complexContent>
+ <xsd:restriction base="AnyChildrenType">
+ <xsd:sequence>
+ <xsd:any namespace="##other" processContents="lax" minOccurs="0" maxOccurs="unbounded"/>
+ <xsd:element name="FailedReference" type="xsd:positiveInteger" minOccurs="0" maxOccurs="unbounded"/>
+ <xsd:element name="ReferringSigReference" type="xsd:positiveInteger"/>
+ </xsd:sequence>
+ </xsd:restriction>
+ </xsd:complexContent>
+ </xsd:complexType>
+ <!--########## Error Response ###-->
+ <xsd:element name="ErrorResponse" type="ErrorResponseType">
+ <xsd:annotation>
+ <xsd:documentation>Resultat, falls die Signaturerstellung gescheitert ist</xsd:documentation>
+ </xsd:annotation>
+ </xsd:element>
+ <xsd:complexType name="ErrorResponseType">
+ <xsd:sequence>
+ <xsd:element name="ErrorCode" type="xsd:integer"/>
+ <xsd:element name="Info" type="xsd:string"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ <!--########## Auxiliary Types ###-->
+ <xsd:simpleType name="KeyIdentifierType">
+ <xsd:restriction base="xsd:string"/>
+ </xsd:simpleType>
+ <xsd:simpleType name="KeyStorageType">
+ <xsd:restriction base="xsd:string">
+ <xsd:enumeration value="Software"/>
+ <xsd:enumeration value="Hardware"/>
+ </xsd:restriction>
+ </xsd:simpleType>
+ <xsd:simpleType name="MimeTypeType">
+ <xsd:restriction base="xsd:token"/>
+ </xsd:simpleType>
+ <xsd:complexType name="AnyChildrenType" mixed="true">
+ <xsd:sequence>
+ <xsd:any namespace="##any" processContents="lax" minOccurs="0" maxOccurs="unbounded"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ <xsd:complexType name="XMLContentType" mixed="true">
+ <xsd:complexContent>
+ <xsd:extension base="AnyChildrenType">
+ <xsd:attribute ref="xml:space" use="optional"/>
+ </xsd:extension>
+ </xsd:complexContent>
+ </xsd:complexType>
+ <xsd:complexType name="ContentBaseType">
+ <xsd:choice minOccurs="0">
+ <xsd:element name="Base64Content" type="xsd:base64Binary"/>
+ <xsd:element name="XMLContent" type="XMLContentType"/>
+ <xsd:element name="LocRefContent" type="xsd:anyURI"/>
+ </xsd:choice>
+ </xsd:complexType>
+ <xsd:complexType name="ContentExLocRefBaseType">
+ <xsd:complexContent>
+ <xsd:restriction base="ContentBaseType">
+ <xsd:choice minOccurs="0">
+ <xsd:element name="Base64Content" type="xsd:base64Binary"/>
+ <xsd:element name="XMLContent" type="XMLContentType"/>
+ </xsd:choice>
+ </xsd:restriction>
+ </xsd:complexContent>
+ </xsd:complexType>
+ <xsd:complexType name="ContentOptionalRefType">
+ <xsd:complexContent>
+ <xsd:extension base="ContentBaseType">
+ <xsd:attribute name="Reference" type="xsd:anyURI" use="optional"/>
+ </xsd:extension>
+ </xsd:complexContent>
+ </xsd:complexType>
+ <xsd:complexType name="ContentRequiredRefType">
+ <xsd:complexContent>
+ <xsd:restriction base="ContentOptionalRefType">
+ <xsd:choice minOccurs="0">
+ <xsd:element name="Base64Content" type="xsd:base64Binary"/>
+ <xsd:element name="XMLContent" type="XMLContentType"/>
+ <xsd:element name="LocRefContent" type="xsd:anyURI"/>
+ </xsd:choice>
+ <xsd:attribute name="Reference" type="xsd:anyURI" use="required"/>
+ </xsd:restriction>
+ </xsd:complexContent>
+ </xsd:complexType>
+ <xsd:complexType name="VerifyTransformsDataType">
+ <xsd:choice maxOccurs="unbounded">
+ <xsd:annotation>
+ <xsd:documentation>Ein oder mehrere Transformationswege können von der Applikation an MOA mitgeteilt werden. Die zu prüfende Signatur hat zumindest einem dieser Transformationswege zu entsprechen. Die Angabe kann explizit oder als Profilbezeichner erfolgen.</xsd:documentation>
+ </xsd:annotation>
+ <xsd:element ref="VerifyTransformsInfoProfile"/>
+ <xsd:element name="VerifyTransformsInfoProfileID" type="xsd:string">
+ <xsd:annotation>
+ <xsd:documentation>Profilbezeichner für einen Transformationsweg</xsd:documentation>
+ </xsd:annotation>
+ </xsd:element>
+ </xsd:choice>
+ </xsd:complexType>
+ <xsd:element name="QualifiedCertificate">
+ <xsd:complexType>
+ <xsd:attribute name="source" use="optional">
+ <xsd:simpleType>
+ <xsd:restriction base="xsd:token">
+ <xsd:enumeration value="TSL"/>
+ <xsd:enumeration value="Certificate"/>
+ </xsd:restriction>
+ </xsd:simpleType>
+ </xsd:attribute>
+ </xsd:complexType>
+ </xsd:element>
+ <xsd:element name="SecureSignatureCreationDevice">
+ <xsd:complexType>
+ <xsd:attribute name="source" use="optional">
+ <xsd:simpleType>
+ <xsd:restriction base="xsd:token">
+ <xsd:enumeration value="TSL"/>
+ <xsd:enumeration value="Certificate"/>
+ </xsd:restriction>
+ </xsd:simpleType>
+ </xsd:attribute>
+ </xsd:complexType>
+ </xsd:element>
+ <xsd:element name="IssuingCountry" type="xsd:token"/>
+ <xsd:element name="PublicAuthority" type="PublicAuthorityType"/>
+ <xsd:complexType name="PublicAuthorityType">
+ <xsd:sequence>
+ <xsd:element name="Code" type="xsd:string" minOccurs="0"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ <xsd:simpleType name="SignatoriesType">
+ <xsd:union memberTypes="AllSignatoriesType">
+ <xsd:simpleType>
+ <xsd:list itemType="xsd:positiveInteger"/>
+ </xsd:simpleType>
+ </xsd:union>
+ </xsd:simpleType>
+ <xsd:simpleType name="AllSignatoriesType">
+ <xsd:restriction base="xsd:string">
+ <xsd:enumeration value="all"/>
+ </xsd:restriction>
+ </xsd:simpleType>
+ <xsd:complexType name="CreateSignatureLocationType">
+ <xsd:simpleContent>
+ <xsd:extension base="xsd:token">
+ <xsd:attribute name="Index" type="xsd:integer" use="required"/>
+ </xsd:extension>
+ </xsd:simpleContent>
+ </xsd:complexType>
+ <xsd:complexType name="TransformParameterType">
+ <xsd:choice minOccurs="0">
+ <xsd:annotation>
+ <xsd:documentation>Die Angabe des Transformationsparameters (explizit oder als Hashwert) kann unterlassen werden, wenn die Applikation von der Unveränderlichkeit des Inhalts der in "Transformationsparamter", Attribut "URI" angegebenen URI ausgehen kann.</xsd:documentation>
+ </xsd:annotation>
+ <xsd:element name="Base64Content" type="xsd:base64Binary">
+ <xsd:annotation>
+ <xsd:documentation>Der Transformationsparameter explizit angegeben.</xsd:documentation>
+ </xsd:annotation>
+ </xsd:element>
+ <xsd:element name="Hash">
+ <xsd:annotation>
+ <xsd:documentation>Der Hashwert des Transformationsparameters.</xsd:documentation>
+ </xsd:annotation>
+ <xsd:complexType>
+ <xsd:sequence>
+ <xsd:element ref="dsig:DigestMethod"/>
+ <xsd:element ref="dsig:DigestValue"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ </xsd:element>
+ </xsd:choice>
+ <xsd:attribute name="URI" type="xsd:anyURI" use="required"/>
+ </xsd:complexType>
+ <xsd:element name="CreateSignatureEnvironmentProfile">
+ <xsd:complexType>
+ <xsd:sequence>
+ <xsd:element name="CreateSignatureLocation" type="CreateSignatureLocationType"/>
+ <xsd:element name="Supplement" type="XMLDataObjectAssociationType" minOccurs="0" maxOccurs="unbounded"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ </xsd:element>
+ <xsd:element name="VerifyTransformsInfoProfile">
+ <xsd:annotation>
+ <xsd:documentation>Explizite Angabe des Transformationswegs</xsd:documentation>
+ </xsd:annotation>
+ <xsd:complexType>
+ <xsd:sequence>
+ <xsd:element ref="dsig:Transforms" minOccurs="0"/>
+ <xsd:element name="TransformParameter" type="TransformParameterType" minOccurs="0" maxOccurs="unbounded">
+ <xsd:annotation>
+ <xsd:documentation>Alle impliziten Transformationsparameter, die zum Durchlaufen der oben angeführten Transformationskette bekannt sein müssen, müssen hier angeführt werden. Das Attribut "URI" bezeichnet den Transformationsparameter in exakt jener Weise, wie er in der zu überprüfenden Signatur gebraucht wird.</xsd:documentation>
+ </xsd:annotation>
+ </xsd:element>
+ </xsd:sequence>
+ </xsd:complexType>
+ </xsd:element>
+ <xsd:element name="Supplement" type="XMLDataObjectAssociationType"/>
+ <xsd:element name="SupplementProfile" type="XMLDataObjectAssociationType"/>
+ <xsd:element name="CreateTransformsInfoProfile">
+ <xsd:complexType>
+ <xsd:sequence>
+ <xsd:element name="CreateTransformsInfo" type="TransformsInfoType"/>
+ <xsd:element ref="Supplement" minOccurs="0" maxOccurs="unbounded"/>
+ </xsd:sequence>
+ </xsd:complexType>
+ </xsd:element>
+</xsd:schema>
diff --git a/id/server/doc/old/MOA_ID_1.2_20040315.pdf b/id/server/doc/handbook/spec/MOA_ID_1.2_20040315.pdf
index 0c89c2730..0c89c2730 100644
--- a/id/server/doc/old/MOA_ID_1.2_20040315.pdf
+++ b/id/server/doc/handbook/spec/MOA_ID_1.2_20040315.pdf
Binary files differ
diff --git a/id/server/doc/old/MOA_ID_1.3_20060315.pdf b/id/server/doc/handbook/spec/MOA_ID_1.3_20060315.pdf
index c9b0d160c..c9b0d160c 100644
--- a/id/server/doc/old/MOA_ID_1.3_20060315.pdf
+++ b/id/server/doc/handbook/spec/MOA_ID_1.3_20060315.pdf
Binary files differ
diff --git a/id/server/doc/old/MOA_ID_1.4_20070802.pdf b/id/server/doc/handbook/spec/MOA_ID_1.4_20070802.pdf
index a3a2f1177..a3a2f1177 100644
--- a/id/server/doc/old/MOA_ID_1.4_20070802.pdf
+++ b/id/server/doc/handbook/spec/MOA_ID_1.4_20070802.pdf
Binary files differ
diff --git a/id/server/doc/old/MOA_ID_1.4_Anhang.pdf b/id/server/doc/handbook/spec/MOA_ID_1.4_Anhang.pdf
index 0c923666f..0c923666f 100644
--- a/id/server/doc/old/MOA_ID_1.4_Anhang.pdf
+++ b/id/server/doc/handbook/spec/MOA_ID_1.4_Anhang.pdf
Binary files differ
diff --git a/id/server/doc/old/MOA_ID_1.5_Anhang.pdf b/id/server/doc/handbook/spec/MOA_ID_1.5_Anhang.pdf
index ed2743d3c..ed2743d3c 100644
--- a/id/server/doc/old/MOA_ID_1.5_Anhang.pdf
+++ b/id/server/doc/handbook/spec/MOA_ID_1.5_Anhang.pdf
Binary files differ
diff --git a/id/server/doc/old/OID-1-0-3.pdf b/id/server/doc/handbook/spec/OID-1-0-3.pdf
index 4beab3e41..4beab3e41 100644
--- a/id/server/doc/old/OID-1-0-3.pdf
+++ b/id/server/doc/handbook/spec/OID-1-0-3.pdf
Binary files differ
diff --git a/id/server/doc/old/cs-sstc-schema-assertion-01.xsd b/id/server/doc/handbook/spec/cs-sstc-schema-assertion-01.xsd
index 8bc5af147..d41f3e817 100644
--- a/id/server/doc/old/cs-sstc-schema-assertion-01.xsd
+++ b/id/server/doc/handbook/spec/cs-sstc-schema-assertion-01.xsd
@@ -1,194 +1,194 @@
-<?xml version="1.0" encoding="UTF-8"?>
-<!-- edited with XML Spy v3.5 NT (http://www.xmlspy.com) by Phill Hallam-Baker (VeriSign Inc.) -->
-<schema targetNamespace="urn:oasis:names:tc:SAML:1.0:assertion" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:saml="urn:oasis:names:tc:SAML:1.0:assertion" xmlns="http://www.w3.org/2001/XMLSchema" elementFormDefault="unqualified">
- <import namespace="http://www.w3.org/2000/09/xmldsig#" schemaLocation="http://www.w3.org/TR/xmldsig-core/xmldsig-core-schema.xsd"/>
- <annotation>
- <documentation>
- Document identifier: cs-sstc-schema-assertion-01
- Location: http://www.oasis-open.org/committees/security/docs/
- </documentation>
- </annotation>
- <simpleType name="IDType">
- <restriction base="string"/>
- </simpleType>
- <simpleType name="IDReferenceType">
- <restriction base="string"/>
- </simpleType>
- <simpleType name="DecisionType">
- <restriction base="string">
- <enumeration value="Permit"/>
- <enumeration value="Deny"/>
- <enumeration value="Indeterminate"/>
- </restriction>
- </simpleType>
- <element name="AssertionIDReference" type="saml:IDReferenceType"/>
- <element name="Assertion" type="saml:AssertionType"/>
- <complexType name="AssertionType">
- <sequence>
- <element ref="saml:Conditions" minOccurs="0"/>
- <element ref="saml:Advice" minOccurs="0"/>
- <choice maxOccurs="unbounded">
- <element ref="saml:Statement"/>
- <element ref="saml:SubjectStatement"/>
- <element ref="saml:AuthenticationStatement"/>
- <element ref="saml:AuthorizationDecisionStatement"/>
- <element ref="saml:AttributeStatement"/>
- </choice>
- <element ref="ds:Signature" minOccurs="0"/>
- </sequence>
- <attribute name="MajorVersion" type="integer" use="required"/>
- <attribute name="MinorVersion" type="integer" use="required"/>
- <attribute name="AssertionID" type="saml:IDType" use="required"/>
- <attribute name="Issuer" type="string" use="required"/>
- <attribute name="IssueInstant" type="dateTime" use="required"/>
- </complexType>
- <element name="Conditions" type="saml:ConditionsType"/>
- <complexType name="ConditionsType">
- <choice minOccurs="0" maxOccurs="unbounded">
- <element ref="saml:AudienceRestrictionCondition"/>
- <element ref="saml:Condition"/>
- </choice>
- <attribute name="NotBefore" type="dateTime" use="optional"/>
- <attribute name="NotOnOrAfter" type="dateTime" use="optional"/>
- </complexType>
- <element name="Condition" type="saml:ConditionAbstractType"/>
- <complexType name="ConditionAbstractType" abstract="true"/>
- <element name="AudienceRestrictionCondition" type="saml:AudienceRestrictionConditionType"/>
- <complexType name="AudienceRestrictionConditionType">
- <complexContent>
- <extension base="saml:ConditionAbstractType">
- <sequence>
- <element ref="saml:Audience" maxOccurs="unbounded"/>
- </sequence>
- </extension>
- </complexContent>
- </complexType>
- <element name="Audience" type="anyURI"/>
- <element name="Advice" type="saml:AdviceType"/>
- <complexType name="AdviceType">
- <choice minOccurs="0" maxOccurs="unbounded">
- <element ref="saml:AssertionIDReference"/>
- <element ref="saml:Assertion"/>
- <any namespace="##other" processContents="lax"/>
- </choice>
- </complexType>
- <element name="Statement" type="saml:StatementAbstractType"/>
- <complexType name="StatementAbstractType" abstract="true"/>
- <element name="SubjectStatement" type="saml:SubjectStatementAbstractType"/>
- <complexType name="SubjectStatementAbstractType" abstract="true">
- <complexContent>
- <extension base="saml:StatementAbstractType">
- <sequence>
- <element ref="saml:Subject"/>
- </sequence>
- </extension>
- </complexContent>
- </complexType>
- <element name="Subject" type="saml:SubjectType"/>
- <complexType name="SubjectType">
- <choice>
- <sequence>
- <element ref="saml:NameIdentifier"/>
- <element ref="saml:SubjectConfirmation" minOccurs="0"/>
- </sequence>
- <element ref="saml:SubjectConfirmation"/>
- </choice>
- </complexType>
- <element name="NameIdentifier" type="saml:NameIdentifierType"/>
- <complexType name="NameIdentifierType">
- <simpleContent>
- <extension base="string">
- <attribute name="NameQualifier" type="string" use="optional"/>
- <attribute name="Format" type="anyURI" use="optional"/>
- </extension>
- </simpleContent>
- </complexType>
- <element name="SubjectConfirmation" type="saml:SubjectConfirmationType"/>
- <complexType name="SubjectConfirmationType">
- <sequence>
- <element ref="saml:ConfirmationMethod" maxOccurs="unbounded"/>
- <element ref="saml:SubjectConfirmationData" minOccurs="0"/>
- <element ref="ds:KeyInfo" minOccurs="0"/>
- </sequence>
- </complexType>
- <element name="SubjectConfirmationData" type="anyType"/>
- <element name="ConfirmationMethod" type="anyURI"/>
- <element name="AuthenticationStatement" type="saml:AuthenticationStatementType"/>
- <complexType name="AuthenticationStatementType">
- <complexContent>
- <extension base="saml:SubjectStatementAbstractType">
- <sequence>
- <element ref="saml:SubjectLocality" minOccurs="0"/>
- <element ref="saml:AuthorityBinding" minOccurs="0" maxOccurs="unbounded"/>
- </sequence>
- <attribute name="AuthenticationMethod" type="anyURI" use="required"/>
- <attribute name="AuthenticationInstant" type="dateTime" use="required"/>
- </extension>
- </complexContent>
- </complexType>
- <element name="SubjectLocality" type="saml:SubjectLocalityType"/>
- <complexType name="SubjectLocalityType">
- <attribute name="IPAddress" type="string" use="optional"/>
- <attribute name="DNSAddress" type="string" use="optional"/>
- </complexType>
- <element name="AuthorityBinding" type="saml:AuthorityBindingType"/>
- <complexType name="AuthorityBindingType">
- <attribute name="AuthorityKind" type="QName" use="required"/>
- <attribute name="Location" type="anyURI" use="required"/>
- <attribute name="Binding" type="anyURI" use="required"/>
- </complexType>
- <element name="AuthorizationDecisionStatement" type="saml:AuthorizationDecisionStatementType"/>
- <complexType name="AuthorizationDecisionStatementType">
- <complexContent>
- <extension base="saml:SubjectStatementAbstractType">
- <sequence>
- <element ref="saml:Action" maxOccurs="unbounded"/>
- <element ref="saml:Evidence" minOccurs="0"/>
- </sequence>
- <attribute name="Resource" type="anyURI" use="required"/>
- <attribute name="Decision" type="saml:DecisionType" use="required"/>
- </extension>
- </complexContent>
- </complexType>
- <element name="Action" type="saml:ActionType"/>
- <complexType name="ActionType">
- <simpleContent>
- <extension base="string">
- <attribute name="Namespace" type="anyURI"/>
- </extension>
- </simpleContent>
- </complexType>
- <element name="Evidence" type="saml:EvidenceType"/>
- <complexType name="EvidenceType">
- <choice maxOccurs="unbounded">
- <element ref="saml:AssertionIDReference"/>
- <element ref="saml:Assertion"/>
- </choice>
- </complexType>
- <element name="AttributeStatement" type="saml:AttributeStatementType"/>
- <complexType name="AttributeStatementType">
- <complexContent>
- <extension base="saml:SubjectStatementAbstractType">
- <sequence>
- <element ref="saml:Attribute" maxOccurs="unbounded"/>
- </sequence>
- </extension>
- </complexContent>
- </complexType>
- <element name="AttributeDesignator" type="saml:AttributeDesignatorType"/>
- <complexType name="AttributeDesignatorType">
- <attribute name="AttributeName" type="string" use="required"/>
- <attribute name="AttributeNamespace" type="anyURI" use="required"/>
- </complexType>
- <element name="Attribute" type="saml:AttributeType"/>
- <complexType name="AttributeType">
- <complexContent>
- <extension base="saml:AttributeDesignatorType">
- <sequence>
- <element ref="saml:AttributeValue" maxOccurs="unbounded"/>
- </sequence>
- </extension>
- </complexContent>
- </complexType>
- <element name="AttributeValue" type="anyType"/>
-</schema>
+<?xml version="1.0" encoding="UTF-8"?>
+<!-- edited with XML Spy v3.5 NT (http://www.xmlspy.com) by Phill Hallam-Baker (VeriSign Inc.) -->
+<schema targetNamespace="urn:oasis:names:tc:SAML:1.0:assertion" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:saml="urn:oasis:names:tc:SAML:1.0:assertion" xmlns="http://www.w3.org/2001/XMLSchema" elementFormDefault="unqualified">
+ <import namespace="http://www.w3.org/2000/09/xmldsig#" schemaLocation="http://www.w3.org/TR/xmldsig-core/xmldsig-core-schema.xsd"/>
+ <annotation>
+ <documentation>
+ Document identifier: cs-sstc-schema-assertion-01
+ Location: http://www.oasis-open.org/committees/security/docs/
+ </documentation>
+ </annotation>
+ <simpleType name="IDType">
+ <restriction base="string"/>
+ </simpleType>
+ <simpleType name="IDReferenceType">
+ <restriction base="string"/>
+ </simpleType>
+ <simpleType name="DecisionType">
+ <restriction base="string">
+ <enumeration value="Permit"/>
+ <enumeration value="Deny"/>
+ <enumeration value="Indeterminate"/>
+ </restriction>
+ </simpleType>
+ <element name="AssertionIDReference" type="saml:IDReferenceType"/>
+ <element name="Assertion" type="saml:AssertionType"/>
+ <complexType name="AssertionType">
+ <sequence>
+ <element ref="saml:Conditions" minOccurs="0"/>
+ <element ref="saml:Advice" minOccurs="0"/>
+ <choice maxOccurs="unbounded">
+ <element ref="saml:Statement"/>
+ <element ref="saml:SubjectStatement"/>
+ <element ref="saml:AuthenticationStatement"/>
+ <element ref="saml:AuthorizationDecisionStatement"/>
+ <element ref="saml:AttributeStatement"/>
+ </choice>
+ <element ref="ds:Signature" minOccurs="0"/>
+ </sequence>
+ <attribute name="MajorVersion" type="integer" use="required"/>
+ <attribute name="MinorVersion" type="integer" use="required"/>
+ <attribute name="AssertionID" type="saml:IDType" use="required"/>
+ <attribute name="Issuer" type="string" use="required"/>
+ <attribute name="IssueInstant" type="dateTime" use="required"/>
+ </complexType>
+ <element name="Conditions" type="saml:ConditionsType"/>
+ <complexType name="ConditionsType">
+ <choice minOccurs="0" maxOccurs="unbounded">
+ <element ref="saml:AudienceRestrictionCondition"/>
+ <element ref="saml:Condition"/>
+ </choice>
+ <attribute name="NotBefore" type="dateTime" use="optional"/>
+ <attribute name="NotOnOrAfter" type="dateTime" use="optional"/>
+ </complexType>
+ <element name="Condition" type="saml:ConditionAbstractType"/>
+ <complexType name="ConditionAbstractType" abstract="true"/>
+ <element name="AudienceRestrictionCondition" type="saml:AudienceRestrictionConditionType"/>
+ <complexType name="AudienceRestrictionConditionType">
+ <complexContent>
+ <extension base="saml:ConditionAbstractType">
+ <sequence>
+ <element ref="saml:Audience" maxOccurs="unbounded"/>
+ </sequence>
+ </extension>
+ </complexContent>
+ </complexType>
+ <element name="Audience" type="anyURI"/>
+ <element name="Advice" type="saml:AdviceType"/>
+ <complexType name="AdviceType">
+ <choice minOccurs="0" maxOccurs="unbounded">
+ <element ref="saml:AssertionIDReference"/>
+ <element ref="saml:Assertion"/>
+ <any namespace="##other" processContents="lax"/>
+ </choice>
+ </complexType>
+ <element name="Statement" type="saml:StatementAbstractType"/>
+ <complexType name="StatementAbstractType" abstract="true"/>
+ <element name="SubjectStatement" type="saml:SubjectStatementAbstractType"/>
+ <complexType name="SubjectStatementAbstractType" abstract="true">
+ <complexContent>
+ <extension base="saml:StatementAbstractType">
+ <sequence>
+ <element ref="saml:Subject"/>
+ </sequence>
+ </extension>
+ </complexContent>
+ </complexType>
+ <element name="Subject" type="saml:SubjectType"/>
+ <complexType name="SubjectType">
+ <choice>
+ <sequence>
+ <element ref="saml:NameIdentifier"/>
+ <element ref="saml:SubjectConfirmation" minOccurs="0"/>
+ </sequence>
+ <element ref="saml:SubjectConfirmation"/>
+ </choice>
+ </complexType>
+ <element name="NameIdentifier" type="saml:NameIdentifierType"/>
+ <complexType name="NameIdentifierType">
+ <simpleContent>
+ <extension base="string">
+ <attribute name="NameQualifier" type="string" use="optional"/>
+ <attribute name="Format" type="anyURI" use="optional"/>
+ </extension>
+ </simpleContent>
+ </complexType>
+ <element name="SubjectConfirmation" type="saml:SubjectConfirmationType"/>
+ <complexType name="SubjectConfirmationType">
+ <sequence>
+ <element ref="saml:ConfirmationMethod" maxOccurs="unbounded"/>
+ <element ref="saml:SubjectConfirmationData" minOccurs="0"/>
+ <element ref="ds:KeyInfo" minOccurs="0"/>
+ </sequence>
+ </complexType>
+ <element name="SubjectConfirmationData" type="anyType"/>
+ <element name="ConfirmationMethod" type="anyURI"/>
+ <element name="AuthenticationStatement" type="saml:AuthenticationStatementType"/>
+ <complexType name="AuthenticationStatementType">
+ <complexContent>
+ <extension base="saml:SubjectStatementAbstractType">
+ <sequence>
+ <element ref="saml:SubjectLocality" minOccurs="0"/>
+ <element ref="saml:AuthorityBinding" minOccurs="0" maxOccurs="unbounded"/>
+ </sequence>
+ <attribute name="AuthenticationMethod" type="anyURI" use="required"/>
+ <attribute name="AuthenticationInstant" type="dateTime" use="required"/>
+ </extension>
+ </complexContent>
+ </complexType>
+ <element name="SubjectLocality" type="saml:SubjectLocalityType"/>
+ <complexType name="SubjectLocalityType">
+ <attribute name="IPAddress" type="string" use="optional"/>
+ <attribute name="DNSAddress" type="string" use="optional"/>
+ </complexType>
+ <element name="AuthorityBinding" type="saml:AuthorityBindingType"/>
+ <complexType name="AuthorityBindingType">
+ <attribute name="AuthorityKind" type="QName" use="required"/>
+ <attribute name="Location" type="anyURI" use="required"/>
+ <attribute name="Binding" type="anyURI" use="required"/>
+ </complexType>
+ <element name="AuthorizationDecisionStatement" type="saml:AuthorizationDecisionStatementType"/>
+ <complexType name="AuthorizationDecisionStatementType">
+ <complexContent>
+ <extension base="saml:SubjectStatementAbstractType">
+ <sequence>
+ <element ref="saml:Action" maxOccurs="unbounded"/>
+ <element ref="saml:Evidence" minOccurs="0"/>
+ </sequence>
+ <attribute name="Resource" type="anyURI" use="required"/>
+ <attribute name="Decision" type="saml:DecisionType" use="required"/>
+ </extension>
+ </complexContent>
+ </complexType>
+ <element name="Action" type="saml:ActionType"/>
+ <complexType name="ActionType">
+ <simpleContent>
+ <extension base="string">
+ <attribute name="Namespace" type="anyURI"/>
+ </extension>
+ </simpleContent>
+ </complexType>
+ <element name="Evidence" type="saml:EvidenceType"/>
+ <complexType name="EvidenceType">
+ <choice maxOccurs="unbounded">
+ <element ref="saml:AssertionIDReference"/>
+ <element ref="saml:Assertion"/>
+ </choice>
+ </complexType>
+ <element name="AttributeStatement" type="saml:AttributeStatementType"/>
+ <complexType name="AttributeStatementType">
+ <complexContent>
+ <extension base="saml:SubjectStatementAbstractType">
+ <sequence>
+ <element ref="saml:Attribute" maxOccurs="unbounded"/>
+ </sequence>
+ </extension>
+ </complexContent>
+ </complexType>
+ <element name="AttributeDesignator" type="saml:AttributeDesignatorType"/>
+ <complexType name="AttributeDesignatorType">
+ <attribute name="AttributeName" type="string" use="required"/>
+ <attribute name="AttributeNamespace" type="anyURI" use="required"/>
+ </complexType>
+ <element name="Attribute" type="saml:AttributeType"/>
+ <complexType name="AttributeType">
+ <complexContent>
+ <extension base="saml:AttributeDesignatorType">
+ <sequence>
+ <element ref="saml:AttributeValue" maxOccurs="unbounded"/>
+ </sequence>
+ </extension>
+ </complexContent>
+ </complexType>
+ <element name="AttributeValue" type="anyType"/>
+</schema>
diff --git a/id/server/doc/old/cs-sstc-schema-protocol-01.xsd b/id/server/doc/handbook/spec/cs-sstc-schema-protocol-01.xsd
index ecad05b0f..d939fa732 100644
--- a/id/server/doc/old/cs-sstc-schema-protocol-01.xsd
+++ b/id/server/doc/handbook/spec/cs-sstc-schema-protocol-01.xsd
@@ -1,127 +1,127 @@
-<?xml version="1.0" encoding="UTF-8"?>
-<!-- edited with XML Spy v4.2 U (http://www.xmlspy.com) by Phillip Hallam-Baker (Phillip Hallam-Baker) -->
-<schema targetNamespace="urn:oasis:names:tc:SAML:1.0:protocol" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:saml="urn:oasis:names:tc:SAML:1.0:assertion" xmlns:samlp="urn:oasis:names:tc:SAML:1.0:protocol" xmlns="http://www.w3.org/2001/XMLSchema" elementFormDefault="unqualified">
- <import namespace="urn:oasis:names:tc:SAML:1.0:assertion" schemaLocation="cs-sstc-schema-assertion-01.xsd"/>
- <import namespace="http://www.w3.org/2000/09/xmldsig#" schemaLocation="http://www.w3.org/TR/xmldsig-core/xmldsig-core-schema.xsd"/>
- <annotation>
- <documentation>
- Document identifier: cs-sstc-schema-protocol-01
- Location: http://www.oasis-open.org/committees/security/docs/
- </documentation>
- </annotation>
- <complexType name="RequestAbstractType" abstract="true">
- <sequence>
- <element ref="samlp:RespondWith" minOccurs="0" maxOccurs="unbounded"/>
- <element ref="ds:Signature" minOccurs="0"/>
- </sequence>
- <attribute name="RequestID" type="saml:IDType" use="required"/>
- <attribute name="MajorVersion" type="integer" use="required"/>
- <attribute name="MinorVersion" type="integer" use="required"/>
- <attribute name="IssueInstant" type="dateTime" use="required"/>
- </complexType>
- <element name="RespondWith" type="QName"/>
- <element name="Request" type="samlp:RequestType"/>
- <complexType name="RequestType">
- <complexContent>
- <extension base="samlp:RequestAbstractType">
- <choice>
- <element ref="samlp:Query"/>
- <element ref="samlp:SubjectQuery"/>
- <element ref="samlp:AuthenticationQuery"/>
- <element ref="samlp:AttributeQuery"/>
- <element ref="samlp:AuthorizationDecisionQuery"/>
- <element ref="saml:AssertionIDReference" maxOccurs="unbounded"/>
- <element ref="samlp:AssertionArtifact" maxOccurs="unbounded"/>
- </choice>
- </extension>
- </complexContent>
- </complexType>
- <element name="AssertionArtifact" type="string"/>
- <element name="Query" type="samlp:QueryAbstractType"/>
- <complexType name="QueryAbstractType" abstract="true"/>
- <element name="SubjectQuery" type="samlp:SubjectQueryAbstractType"/>
- <complexType name="SubjectQueryAbstractType" abstract="true">
- <complexContent>
- <extension base="samlp:QueryAbstractType">
- <sequence>
- <element ref="saml:Subject"/>
- </sequence>
- </extension>
- </complexContent>
- </complexType>
- <element name="AuthenticationQuery" type="samlp:AuthenticationQueryType"/>
- <complexType name="AuthenticationQueryType">
- <complexContent>
- <extension base="samlp:SubjectQueryAbstractType">
- <attribute name="AuthenticationMethod" type="anyURI"/>
- </extension>
- </complexContent>
- </complexType>
- <element name="AttributeQuery" type="samlp:AttributeQueryType"/>
- <complexType name="AttributeQueryType">
- <complexContent>
- <extension base="samlp:SubjectQueryAbstractType">
- <sequence>
- <element ref="saml:AttributeDesignator" minOccurs="0" maxOccurs="unbounded"/>
- </sequence>
- <attribute name="Resource" type="anyURI" use="optional"/>
- </extension>
- </complexContent>
- </complexType>
- <element name="AuthorizationDecisionQuery" type="samlp:AuthorizationDecisionQueryType"/>
- <complexType name="AuthorizationDecisionQueryType">
- <complexContent>
- <extension base="samlp:SubjectQueryAbstractType">
- <sequence>
- <element ref="saml:Action" maxOccurs="unbounded"/>
- <element ref="saml:Evidence" minOccurs="0" maxOccurs="1"/>
- </sequence>
- <attribute name="Resource" type="anyURI" use="required"/>
- </extension>
- </complexContent>
- </complexType>
- <complexType name="ResponseAbstractType" abstract="true">
- <sequence>
- <element ref="ds:Signature" minOccurs="0"/>
- </sequence>
- <attribute name="ResponseID" type="saml:IDType" use="required"/>
- <attribute name="InResponseTo" type="saml:IDReferenceType" use="optional"/>
- <attribute name="MajorVersion" type="integer" use="required"/>
- <attribute name="MinorVersion" type="integer" use="required"/>
- <attribute name="IssueInstant" type="dateTime" use="required"/>
- <attribute name="Recipient" type="anyURI" use="optional"/>
- </complexType>
- <element name="Response" type="samlp:ResponseType"/>
- <complexType name="ResponseType">
- <complexContent>
- <extension base="samlp:ResponseAbstractType">
- <sequence>
- <element ref="samlp:Status"/>
- <element ref="saml:Assertion" minOccurs="0" maxOccurs="unbounded"/>
- </sequence>
- </extension>
- </complexContent>
- </complexType>
- <element name="Status" type="samlp:StatusType"/>
- <complexType name="StatusType">
- <sequence>
- <element ref="samlp:StatusCode"/>
- <element ref="samlp:StatusMessage" minOccurs="0" maxOccurs="1"/>
- <element ref="samlp:StatusDetail" minOccurs="0"/>
- </sequence>
- </complexType>
- <element name="StatusCode" type="samlp:StatusCodeType"/>
- <complexType name="StatusCodeType">
- <sequence>
- <element ref="samlp:StatusCode" minOccurs="0"/>
- </sequence>
- <attribute name="Value" type="QName" use="required"/>
- </complexType>
- <element name="StatusMessage" type="string"/>
- <element name="StatusDetail" type="samlp:StatusDetailType"/>
- <complexType name="StatusDetailType">
- <sequence>
- <any namespace="##any" processContents="lax" minOccurs="0" maxOccurs="unbounded"/>
- </sequence>
- </complexType>
-</schema>
+<?xml version="1.0" encoding="UTF-8"?>
+<!-- edited with XML Spy v4.2 U (http://www.xmlspy.com) by Phillip Hallam-Baker (Phillip Hallam-Baker) -->
+<schema targetNamespace="urn:oasis:names:tc:SAML:1.0:protocol" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:saml="urn:oasis:names:tc:SAML:1.0:assertion" xmlns:samlp="urn:oasis:names:tc:SAML:1.0:protocol" xmlns="http://www.w3.org/2001/XMLSchema" elementFormDefault="unqualified">
+ <import namespace="urn:oasis:names:tc:SAML:1.0:assertion" schemaLocation="cs-sstc-schema-assertion-01.xsd"/>
+ <import namespace="http://www.w3.org/2000/09/xmldsig#" schemaLocation="http://www.w3.org/TR/xmldsig-core/xmldsig-core-schema.xsd"/>
+ <annotation>
+ <documentation>
+ Document identifier: cs-sstc-schema-protocol-01
+ Location: http://www.oasis-open.org/committees/security/docs/
+ </documentation>
+ </annotation>
+ <complexType name="RequestAbstractType" abstract="true">
+ <sequence>
+ <element ref="samlp:RespondWith" minOccurs="0" maxOccurs="unbounded"/>
+ <element ref="ds:Signature" minOccurs="0"/>
+ </sequence>
+ <attribute name="RequestID" type="saml:IDType" use="required"/>
+ <attribute name="MajorVersion" type="integer" use="required"/>
+ <attribute name="MinorVersion" type="integer" use="required"/>
+ <attribute name="IssueInstant" type="dateTime" use="required"/>
+ </complexType>
+ <element name="RespondWith" type="QName"/>
+ <element name="Request" type="samlp:RequestType"/>
+ <complexType name="RequestType">
+ <complexContent>
+ <extension base="samlp:RequestAbstractType">
+ <choice>
+ <element ref="samlp:Query"/>
+ <element ref="samlp:SubjectQuery"/>
+ <element ref="samlp:AuthenticationQuery"/>
+ <element ref="samlp:AttributeQuery"/>
+ <element ref="samlp:AuthorizationDecisionQuery"/>
+ <element ref="saml:AssertionIDReference" maxOccurs="unbounded"/>
+ <element ref="samlp:AssertionArtifact" maxOccurs="unbounded"/>
+ </choice>
+ </extension>
+ </complexContent>
+ </complexType>
+ <element name="AssertionArtifact" type="string"/>
+ <element name="Query" type="samlp:QueryAbstractType"/>
+ <complexType name="QueryAbstractType" abstract="true"/>
+ <element name="SubjectQuery" type="samlp:SubjectQueryAbstractType"/>
+ <complexType name="SubjectQueryAbstractType" abstract="true">
+ <complexContent>
+ <extension base="samlp:QueryAbstractType">
+ <sequence>
+ <element ref="saml:Subject"/>
+ </sequence>
+ </extension>
+ </complexContent>
+ </complexType>
+ <element name="AuthenticationQuery" type="samlp:AuthenticationQueryType"/>
+ <complexType name="AuthenticationQueryType">
+ <complexContent>
+ <extension base="samlp:SubjectQueryAbstractType">
+ <attribute name="AuthenticationMethod" type="anyURI"/>
+ </extension>
+ </complexContent>
+ </complexType>
+ <element name="AttributeQuery" type="samlp:AttributeQueryType"/>
+ <complexType name="AttributeQueryType">
+ <complexContent>
+ <extension base="samlp:SubjectQueryAbstractType">
+ <sequence>
+ <element ref="saml:AttributeDesignator" minOccurs="0" maxOccurs="unbounded"/>
+ </sequence>
+ <attribute name="Resource" type="anyURI" use="optional"/>
+ </extension>
+ </complexContent>
+ </complexType>
+ <element name="AuthorizationDecisionQuery" type="samlp:AuthorizationDecisionQueryType"/>
+ <complexType name="AuthorizationDecisionQueryType">
+ <complexContent>
+ <extension base="samlp:SubjectQueryAbstractType">
+ <sequence>
+ <element ref="saml:Action" maxOccurs="unbounded"/>
+ <element ref="saml:Evidence" minOccurs="0" maxOccurs="1"/>
+ </sequence>
+ <attribute name="Resource" type="anyURI" use="required"/>
+ </extension>
+ </complexContent>
+ </complexType>
+ <complexType name="ResponseAbstractType" abstract="true">
+ <sequence>
+ <element ref="ds:Signature" minOccurs="0"/>
+ </sequence>
+ <attribute name="ResponseID" type="saml:IDType" use="required"/>
+ <attribute name="InResponseTo" type="saml:IDReferenceType" use="optional"/>
+ <attribute name="MajorVersion" type="integer" use="required"/>
+ <attribute name="MinorVersion" type="integer" use="required"/>
+ <attribute name="IssueInstant" type="dateTime" use="required"/>
+ <attribute name="Recipient" type="anyURI" use="optional"/>
+ </complexType>
+ <element name="Response" type="samlp:ResponseType"/>
+ <complexType name="ResponseType">
+ <complexContent>
+ <extension base="samlp:ResponseAbstractType">
+ <sequence>
+ <element ref="samlp:Status"/>
+ <element ref="saml:Assertion" minOccurs="0" maxOccurs="unbounded"/>
+ </sequence>
+ </extension>
+ </complexContent>
+ </complexType>
+ <element name="Status" type="samlp:StatusType"/>
+ <complexType name="StatusType">
+ <sequence>
+ <element ref="samlp:StatusCode"/>
+ <element ref="samlp:StatusMessage" minOccurs="0" maxOccurs="1"/>
+ <element ref="samlp:StatusDetail" minOccurs="0"/>
+ </sequence>
+ </complexType>
+ <element name="StatusCode" type="samlp:StatusCodeType"/>
+ <complexType name="StatusCodeType">
+ <sequence>
+ <element ref="samlp:StatusCode" minOccurs="0"/>
+ </sequence>
+ <attribute name="Value" type="QName" use="required"/>
+ </complexType>
+ <element name="StatusMessage" type="string"/>
+ <element name="StatusDetail" type="samlp:StatusDetailType"/>
+ <complexType name="StatusDetailType">
+ <sequence>
+ <any namespace="##any" processContents="lax" minOccurs="0" maxOccurs="unbounded"/>
+ </sequence>
+ </complexType>
+</schema>
diff --git a/id/server/doc/handbook/usage/usage.html b/id/server/doc/handbook/usage/usage.html
deleted file mode 100644
index bdad18910..000000000
--- a/id/server/doc/handbook/usage/usage.html
+++ /dev/null
@@ -1,1299 +0,0 @@
-<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
-<html>
-<head>
- <meta http-equiv="content-type" content="text/html; charset=iso-8859-1">
- <title>MOA SS und SP - Anwendung</title>
- <link rel="stylesheet" href="../common/MOA.css" type="text/css">
-</head>
-<body link="#990000">
- <table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="../common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="../common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
- </table>
- <hr/>
- <p class="title"><a href="../index.html">MOA: Serversignatur (SS) und Signaturpr&uuml;fung (SP)</a></p>
- <p class="subtitle">Anwendung</p>
- <hr/>
- <h1>Inhalt</h1>
- <ol>
- <li>
- <p><a href="#&#252;bersicht">&Uuml;bersicht</a></p>
- </li>
- <li>
- <p><a href="#webservice">Verwendung des Webservices</a></p>
- <ol>
- <li><a href="#webservice_xmlrequests">XML-Requests</a> <ol>
- <li><a href="#webservice_xmlrequests_erstellungcms">Erstellung einer CMS bzw. CAdES-Signatur</a></li>
- <ol>
- <li><a href="#webservice_xmlrequests_erstellungcms_einfach">Beispiel (Base64-codiertes Datenobjekt)</a></li>
- <li><a href="#webservice_xmlrequests_erstellungcms_erweitert">Beispiel (Datenobjekt als Referenz)</a></li>
- </ol>
- <li><a href="#webservice_xmlrequests_erstellungxml">Erstellung einer XML bzw. XAdES-Signatur</a>
- <ol>
- <li><a href="#webservice_xmlrequests_erstellungxml_simple">Einfaches Beispiel</a></li>
- <li><a href="#webservice_xmlrequests_erstellungxml_daten">Angabe der zu signierenden Daten</a></li>
- <li><a href="#webservice_xmlrequests_erstellungxml_transformationen">Transformationen</a></li>
- <li><a href="#webservice_xmlrequests_erstellungxml_ergaenzungsobjekte">Erg&auml;nzungsobjekte</a> </li>
- </ol>
- </li>
- <li><a href="#webservice_xmlrequests_pruefungcms">Pr&uuml;fung einer CMS bzw. CAdES-Signatur </a>
- <ol>
- <li><a href="#webservice_xmlrequests_pruefungcms_einfach">Einfaches Beispiel</a></li>
- <li><a href="#webservice_xmlrequests_pruefungcms_erweitert">Erweitertes Beispiel</a> </li>
- </ol>
- </li>
- <li><a href="#webservice_xmlrequests_pruefungxml">Pr&uuml;fung einer XML bzw. XAdES-Signatur </a>
- <ol>
- <li><a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a></li>
- <li><a href="#webservice_xmlrequests_pruefungxml_erweitert">Erweitertes Beispiel</a></li>
- <li><a href="#webservice_xmlrequests_pruefungxml_xmldsigmanifest">Pr&uuml;fung eines XMLDSIG-Manifests</a></li>
- <li><a href="#webservice_xmlrequests_pruefungxml_ergaenzungsobjekte">Erg&auml;nzungsobjekte</a></li>
- <li><a href="#webservice_xmlrequests_pruefungxml_signaturmanifest">Signatur-Manifest des Security-Layers</a></li>
- </ol>
- </li>
- </ol>
- </li>
- <li><a href="#webservice_clients">Webservice-Clients
- </a> <ol>
- <li><a href="#webservice_clients_&#252;bersicht">&Uuml;bersicht</a></li>
- <li><a href="#webservice_clients_gemeinsamkeiten">Gemeinsamkeiten</a></li>
- <li><a href="#webservice_clients_httpsserverauth">Besonderheiten von <code>HTTPSServerAuth.java</code></a></li>
- <li><a href="#webservice_clients_httpsclientauth">Besonderheiten von <code>HTTPSClientAuth.java</code></a></li>
- </ol>
- </li>
- </ol>
- </li>
- <li><a href="#klassenbibliothek">Verwendung der Klassenbibliothek</a>
- <ol>
- <li><a href="#klassenbibliothek_vorbereitung">Vorbereitung</a></li>
- <li><a href="#klassenbibliothek_allgemeines">Allgemeines</a> </li>
- <li><a href="#klassenbibliothek_beispiele">Beispiele</a></li>
- <li><a href="#klassenbibliothek_apidoc">API-Dokumentation</a> </li>
- </ol>
- </li>
- </ol>
- <ol type="A">
- <li><a href="#referenzierte_software">Referenzierte Software</a></li>
- <li><a href="#referenzierte_spezifikation">Referenzierte Spezifikation</a></li>
- </ol>
-
-<hr/>
- <h1><a name="übersicht" id="übersicht"></a>1 &Uuml;bersicht</h1>
- <p> Die Module Signaturpr&uuml;fung (SP) und Serversignatur (SS) sind als plattformunabh&auml;ngige Module ausgelegt, die entweder als Webservice &uuml;ber HTTP bzw. HTTPS oder als Klassenbibliothek &uuml;ber ein API angesprochen werden k&ouml;nnen. Dieses Handbuch beschreibt die Anwendung der beiden Module auf jede dieser beiden Arten.</p>
- <h1><a name="webservice"></a>2 Verwendung des Webservices </h1>
- <p>Dieser Abschnitt beschreibt die Verwendung der Module SP und SS &uuml;ber die Webservice-Schnittstelle. Im ersten Unterabschnitt werden typische XML-Requests zur Signaturerstellung mittels SS bzw. zur Signaturpr&uuml;fung mittels SP vorgestellt, wie sie an das Webservice gesendet werden k&ouml;nnen. Der zweite Unterabschnitt stellt beispielhafte Implementierungen eines Webservice-Clients in Java vor, mit dem die Requests aus dem ersten Unterabschnitt an das Webservice gesendet werden k&ouml;nnen.</p>
- <h2><a name="webservice_xmlrequests" id="webservice_xmlrequests"></a>2.1 XML-Requests </h2>
- <p>Dieser Abschnitt stellt typische XML-Requests f&uuml;r die Erstellung einer XML/XAdES- und CMS/CAdES-Signatur mittels SS bzw. zur Pr&uuml;fung einer CMS/CAdES- bzw. XML/XAdES-Signatur mittels SP vor. Zu jedem Request wird jeweils auch eine typische Response des Services besprochen. </p>
-<p class="remark">Bitte beachten Sie: Einige der vorgestellten Requests referenzieren beispielhafte Daten auf <code>localhost</code>, z.B. <code>http://localhost:8080/referencedData/Text.txt</code>. Wenn Sie diese Beispiele ausprobieren m&ouml;chten, m&uuml;ssen Sie daf&uuml;r sorgen, dass MOA SS bzw. SP diese Daten auch tats&auml;chlich aufl&ouml;sen kann. Wenn Sie Ihre Tomcat-Installation auf <code>localhost:8080</code> betreiben, ist es ausreichend, wenn sie die diesem Handbuch beiliegende Webapplikation <code><a href="../../clients/common/referencedData/referencedData.war">referencedData.war</a></code> in das Verzeichnis <code>webapps</code> Ihrer Tomcat-Installation kopieren. Ansonsten m&uuml;ssen Sie zus&auml;tzlich die URLs in den Requests anpassen. </p>
- <h3><a name="webservice_xmlrequests_erstellungcms" id="webservice_xmlrequests_erstellungcms"></a>2.1.1 Erstellung einer CMS bzw. CAdES-Signatur</h3>
- <p>MOA-SS erm&ouml;glicht die Erstellung einer herk&ouml;mmlichen CMS-Signatur und einer CAdES-Signatur&nbsp;gem&auml;&szlig; der <a href="#sl"> Security-Layer Spezifikation</a>. Die Auswahl ob eine herk&ouml;mmliche XML oder eine Security-Layer konforme CAdES-Signatur erstellt wird, erfolgt durch das Attribute <code>SecurityLayerConformity</code> im Signaturerstelltungs-Request (siehe auch folgende Beispiele).</p>
-<h4><a name="webservice_xmlrequests_erstellungcms_einfach" id="webservice_xmlrequests_erstellungcms_einfach"></a>2.1.1.1 Beispiel (Base64-codiertes Datenobjekt)</h4>
-<h5>Request</h5>
- <p><code><a href="../../clients/webservice/resources/requests/CreateCMSSignatureRequest.Base64Content.xml" target="_blank">CreateCMSSignatureRequest.Base64Content.xml</a></code> ist ein einfacher XML-Request zur Erzeugung einer CAdES-Signatur. Sein Aufbau wird nachfolgend analysiert:</p>
- <pre> &lt;KeyIdentifier&gt;KG_allgemein&lt;/KeyIdentifier&gt; </pre>
- <p><code>KG_allgemein</code> bezeichnet eine Schl&uuml;sselgruppe, aus der SS einen Signaturschl&uuml;ssel selektieren soll und muss einer in der SP/SS-Konfigurationsdatei definierten Schl&uuml;sselgruppe entsprechen. </p>
- <pre> &lt;SingleSignatureInfo SecurityLayerConformity="true"&gt;</pre>
- <p> F&uuml;r jedes <code>SingleSignatureInfo</code>Element wird eine eigene CMS/CAdES-Signatur erzeugt. Wird das Attribut <code>SecurityLayerConformity</code> auf <code>true</code> gesetzt, dann wird eine CAdES-Signatur gem&auml;&szlig; <a href="#sl"> Security-Layer Spezifikation</a> erzeugt; d.h. es werden signierte Properties (Zeitpunkt der Signaturerstellung, das f&uuml;r die Signatur&uuml;berpr&uuml;fung zu verwendende Zertifikat, Metainformationen zu den signierten Datenobjekten).</p>
-<pre> &lt;DataObjectInfo Structure="enveloping"&gt;
- &lt;DataObject&gt;
- &lt;MetaInfo&gt;
- &lt;MimeType&gt;text/plain&lt;/MimeType&gt;
- &lt;/MetaInfo&gt;
- &lt;Content&gt;
- &lt;Base64Content&gt;RGllc2UgRGF0ZW4gc2luZCByZWluZXIgVGV4dC4=&lt;/Base64Content&gt;
- &lt;/Content&gt;
- &lt;/DataObject&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
-<p>Das zu signierende Daten-Objekt muss in einem <code>DataObjectInfo</code> Element spezifiziert werden. Das Attribut <code>Structure</code> gibt an, ob die Daten in die Signatur integriert werden sollen (<code>Structure="enveloping"</code>) oder nicht (<code>Structure="detached"</code>). </p>
-<p> Im nachfolgenden <code>DataObject</code> Element muss entweder das Attribut <code>Reference</code> (enth&auml;lt eine URL, von der SS die Daten beziehen soll) gesetzt sein, oder aber die zu signierenden Daten werden explizit im Element <code>Base64Content</code> (enth&auml;lt Daten in Base64 kodierter Form) spezifiziert sein. Die Angabe der zu signierenden Daten &uuml;ber das Attribut <code>Reference</code> und gleichzeitig im Element <code>Base64Content</code> ist nicht erlaubt. Zus&auml;tzlich muss im Element <code>MimeType</code> (unter dem Element <code>MetaInfo</code>) der MIME-Type der zu signierenden Daten spezifiziert werden.</p>
- <p>Im konkreten Beispiel sollen die Daten in die Signatur integriert werden (<code>Structure="enveloping"</code>). Die Daten werden in diesem Beispiel mittels <code>Base64Content</code> angegeben. Der MIME-Type wird mit <code>text/plain</code> angegeben.</p>
-<h5>Response</h5>
-<p><code><a href="../../clients/webservice/resources/requests/CreateCMSSignatureRequest.Base64Content.resp.xml" target="_blank">CreateCMSSignatureRequest.Base64Content.resp.xml</a></code> ist eine typische Response des SS Webservices auf den obigen Request. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass die dargestellte Response zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde. </p>
- <pre> &lt;CreateCMSSignatureResponse
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot; <br> xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;<br> &lt;CMSSignature&gt;MIAGCSqGSI...p92gh6wAAAAAAAA=&lt;/CMSSignature&gt;<br> &lt;/CreateCMSSignatureResponse&gt;</pre>
-<p><code>CreateCMSSignatureResponse</code> enth&auml;lt je erzeugter Signatur ein Element <code>CMSSignature</code> (in diesem Fall genau ein Element). <code>CMSSignature</code> enth&auml;lt die von SS erzeugte CAdES-Signatur (da <code>SecurityLayerConformity="true"</code> im Request angegeben wurde) als Base64-codierten Wert. Das unterzeichnete Datenobjekt ist in der Signaturstruktur selbst enthalten (<code>enveloping</code>). </p>
-<h4><a name="webservice_xmlrequests_erstellungcms_erweitert" id="webservice_xmlrequests_erstellungcms_erweitert"></a>2.1.1.2 Beispiel (Datenobjekt als Referenz)</h4>
-
-<h5>Request</h5>
-<p><code><a href="../../clients/webservice/resources/requests/CreateCMSSignatureRequest.Reference.xml" target="_blank">CreateCMSSignatureRequest.Reference.xml</a></code> ist ein einfacher XML-Request zur Erzeugung einer CMS-Signatur. Sein Aufbau wird nachfolgend analysiert:</p>
-<pre> &lt;KeyIdentifier&gt;KG_allgemein&lt;/KeyIdentifier&gt; </pre>
-<p><code>KG_allgemein</code> bezeichnet eine Schl&uuml;sselgruppe, aus der SS einen Signaturschl&uuml;ssel selektieren soll und muss einer in der SP/SS-Konfigurationsdatei definierten Schl&uuml;sselgruppe entsprechen. </p>
-<pre> &lt;SingleSignatureInfo SecurityLayerConformity="false"&gt;</pre>
-<p> F&uuml;r jedes <code>SingleSignatureInfo</code>Element wird eine eigene CMS/CAdES-Signatur erzeugt. Wird das Attribut <code>SecurityLayerConformity</code> auf <code>true</code> gesetzt, dann wird eine CAdES-Signatur gem&auml;&szlig; <a href="#sl"> Security-Layer Spezifikation</a> erzeugt; d.h. es werden signierte Properties (Zeitpunkt der Signaturerstellung, das f&uuml;r die Signatur&uuml;berpr&uuml;fung zu verwendende Zertifikat, Metainformationen zu den signierten Datenobjekten).</p>
-<pre> &lt;DataObjectInfo Structure="detached"&gt;
- &lt;DataObject&gt;
- &lt;MetaInfo&gt;
- &lt;MimeType&gt;text/plain&lt;/MimeType&gt;
- &lt;/MetaInfo&gt;
- &lt;Content Reference=&quot;http://localhost:8080/moa-spss-handbook-referencedData/Text.txt&quot;/&gt;
- &lt;/DataObject&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
-<p>Das zu signierende Daten-Objekt muss in einem <code>DataObjectInfo</code> Element spezifiziert werden. Das Attribut <code>Structure</code> gibt an, ob die Daten in die Signatur integriert werden sollen (<code>Structure="enveloping"</code>) oder nicht (<code>Structure="detached"</code>). </p>
-<p> Im nachfolgenden <code>DataObject</code> Element muss entweder das Attribut <code>Reference</code> (enth&auml;lt eine URL, von der SS die Daten beziehen soll) gesetzt sein, oder aber die zu signierenden Daten werden explizit im Element <code>Base64Content</code> (enth&auml;lt Daten in Base64 kodierter Form) spezifiziert sein. Die Angabe der zu signierenden Daten &uuml;ber das Attribut <code>Reference</code> und gleichzeitig im Element <code>Base64Content</code> ist nicht erlaubt. Zus&auml;tzlich muss im Element <code>MimeType</code> (unter dem Element <code>MetaInfo</code>) der MIME-Type der zu signierenden Daten spezifiziert werden.</p>
-<p>Im konkreten Beispiel sollen die Daten nicht in die Signatur integriert werden (<code>Structure="detached"</code>). Die Daten werden in diesem Beispiel mittels der Attributs <code>Refernce</code> angegeben und SS muss es von dieser URL laden. Der MIME-Type wird mit <code>text/plain</code> angegeben.</p>
-<h5>Response</h5>
-<p><code><a href="../../clients/webservice/resources/requests/CreateCMSSignatureRequest.Reference.resp.xml" target="_blank">CreateCMSSignatureRequest.Reference.resp.xml</a></code> ist eine typische Response des SS Webservices auf den obigen Request. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass die dargestellte Response zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde. </p>
-<pre> &lt;CreateCMSSignatureResponse
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot; <br> xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;<br> &lt;CMSSignature&gt;MIAGCSqGSI...SwxhbA9pAAAAAAAA&lt;/CMSSignature&gt;<br> &lt;/CreateCMSSignatureResponse&gt;</pre>
-<p><code>CreateCMSSignatureResponse</code> enth&auml;lt je erzeugter Signatur ein Element <code>CMSSignature</code> (in diesem Fall genau ein Element). <code>CMSSignature</code> enth&auml;lt die von SS erzeugte CMS-Signatur (da <code>SecurityLayerConformity="false"</code> im Request angegeben wurde) als Base64-codierten Wert. Das unterzeichnete Datenobjekt ist in der Signaturstruktur nicht enthalten (<code>detached</code>).</p>
-<h3><a name="webservice_xmlrequests_erstellungxml" id="webservice_xmlrequests_erstellungxml"></a>2.1.2 Erstellung einer XML bzw. XAdES-Signatur</h3>
-<p>MOA-SS erm&ouml;glicht die Erstellung einer herk&ouml;mmlichen XML-Signatur und einer XAdES-Signatur&nbsp;gem&auml;&szlig; der <a href="#sl"> Security-Layer Spezifikation</a>. Die Auswahl ob eine herk&ouml;mmliche XML oder eine Security-Layer konforme XAdES-Signatur erstellt wird, erfolgt durch das Attribute <code>SecurityLayerConformity</code> im Signaturerstelltungs-Request (siehe auch folgende Beispiele). </p>
-<p>Im Falle einer XAdES-Signatur, kann entweder eine XAdES-Signatur in der Version 1.1.1 oder in der Version 1.4.2 erstellt werden. Dies h&auml;ngt von der in der MOA-SS Konfiguration angegeben XAdES-Version ab (siehe hierzu <a href="../config/config.html#konfigurationsparameter_ss_xades">Konfiguration der XAdES Version</a>).</p>
-<h4><a name="webservice_xmlrequests_erstellungxml_simple" id="webservice_xmlrequests_erstellungxml_simple"></a>2.1.2.1 Einfaches Beispiel</h4>
- <h5>Request</h5>
- <p><code><a href="../../clients/webservice/resources/requests/CreateXMLSignatureRequest.Simple.xml" target="_blank">CreateXMLSignatureRequest.Simple.xml</a></code> ist ein einfacher XML-Request zur Erzeugung einer XML-Signatur. Sein Aufbau wird nachfolgend analysiert:</p>
- <pre> &lt;KeyIdentifier&gt;KG_allgemein&lt;/KeyIdentifier&gt; </pre>
- <p><code>KG_allgemein</code> bezeichnet eine Schl&uuml;sselgruppe, aus der SS einen Signaturschl&uuml;ssel selektieren soll und muss einer in der SP/SS-Konfigurationsdatei definierten Schl&uuml;sselgruppe entsprechen. </p>
- <pre> &lt;SingleSignatureInfo SecurityLayerConformity="false"&gt;</pre>
- <p> F&uuml;r jedes <code>SingleSignatureInfo</code>Element wird eine eigene XML-Signatur erzeugt. Wird das Attribut <code>SecurityLayerConformity</code> auf <code>true</code> gesetzt, dann wird eine XML-Signatur gem&auml;&szlig; <a href="#sl"> Security-Layer Spezifikation</a> erzeugt; d.h. es werden signierte Properties (Zeitpunkt der Signaturerstellung, das f&uuml;r die Signatur&uuml;berpr&uuml;fung zu verwendende Zertifikat, Metainformationen zu den signierten Datenobjekten) und ein Manifest, das alle implizite Transformationsparameter enth&auml;lt, zur Signatur hinzugef&uuml;gt (=eine XAdES Signatur).</p>
-<pre> &lt;DataObjectInfo Structure="enveloping"&gt;
- &lt;DataObject&gt;
- &lt;XMLContent&gt;Diese Daten werden signiert.&lt;XMLContent&gt;
- &lt;/DataObject&gt;</pre>
-<p> </p>
- <p> F&uuml;r jedes Daten-Objekt, das in die XML-Signatur als <code>dsig:Reference</code> aufgenommen werden soll, muss ein <code>DataObjectInfo</code> Element spezifiziert werden. Das Attribut <code>Structure</code> gibt an, ob die Daten in die Signatur in ein <code>dsig:Object</code> Element integriert werden sollen (<code>Structure="enveloping"</code>), oder &uuml;ber einen URL referenziert werden sollen (<code>Structure="detached"</code>). </p>
- <p> Im Fall von <code>Structure="enveloping"</code> muss im nachfolgenden <code>DataObject</code> Element entweder das Attribut <code>Reference</code> (enth&auml;lt eine URL, von der SS die Daten beziehen soll) gesetzt sein, oder aber die zu signierenden Daten werden explizit in einem der Elemente <code>Base64Content</code> (enth&auml;lt Daten in Base64 kodierter Form) oder <code>XMLContent</code> (enth&auml;lt Daten als beliebiges XML-Fragment) oder <code>LocRefContent</code> (enth&auml;lt eine URL, von der SS die Daten beziehen soll; in diesem Fall also gleichwertig wie ein gesetztes Attribut <code>Reference</code>) spezifiziert sein. Die Angabe der zu signierenden Daten &uuml;ber das Attribut <code>Reference</code> und gleichzeitig einem der Elemente <code>Base64Content</code> oder <code>XMLContent</code> oder <code>LocRefContent</code> ist nicht erlaubt.</p>
- <p>Im Fall von <code>Structure="detached"</code> muss das Attribut <code>Reference</code> im nachfolgenden <code>DataObject</code> Element gesetzt sein. Es enth&auml;lt jene URL, die zur Referenzierung der Daten als Wert von <code>dsig:Reference/@URI</code> in die XML-Signatur aufgenommen wird. Die Angabe eines der Element <code>Base64Content</code> oder <code>XMLContent</code> oder <code>LocRefContent</code> ist optional. Unterbleibt die Angabe, bezieht SS die Daten von der URL im Attribut <code>Reference</code>. Wird eines der Elemente verwendet, bezieht SS die Daten durch Analyse des angegebenen Elements (siehe obiger Absatz). </p>
- <p>Im konkreten Beispiel sollen die Daten in ein <code>dsig:Object</code> Element integriert werden (<code>Structure="enveloping"</code>). Die Daten werden mittels <code>XMLContent</code> als XML-Fragment (ein einfacher Textknoten) angegeben.</p>
- <p>
- <pre> &lt;CreateTransformsInfoProfile&gt;<br> &lt;CreateTransformsInfo&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;text/plain&lt;MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
- &lt;/CreateTransformsInfo&gt;
- &lt;/CreateTransformsInfoProfile&gt;</pre>
- Zu jedem Daten-Objekt k&ouml;nnen optional Transformationen (z.B. XPath, XSLT, Base64-Decodierung, etc.) angegeben werden. Werden - wie hier im Beispiel - keine Transformationen angegeben, so muss zumindest der MIME-Type der zu signierenden Daten spezifiziert werden. <p></p>
- <h5>Response</h5>
- <p><code><a href="../../clients/webservice/resources/requests/CreateXMLSignatureRequest.Simple.resp.xml" target="_blank">CreateXMLSignatureRequest.Simple.resp.xml</a></code> ist eine typische Response des SS Webservices auf den obigen Request. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass die dargestellte Response zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde. </p>
- <pre> &lt;CreateXMLSignatureResponse
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot; <br> xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;<br> &lt;SignatureEnvironment&gt;<br> &lt;dsig:Signature Id=&quot;signature-1-1&quot; xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;<br> &lt;dsig:SignedInfo&gt;
- ...
- &lt;dsig:Reference Id=&quot;reference-1-1&quot; URI=&quot;#xpointer(id(&amp;apos;signed-data-1-1-1&amp;apos;)/node())&quot;&gt;
- ...
- &lt;/dsig:Reference&gt;
- ...
- &lt;/dsig:SignedInfo&gt;
- ...
- &lt;dsig:Object Id=&quot;signed-data-1-1-1&quot;&gt;Diese Daten werden signiert.&lt;/dsig:Object&gt;
- &lt;/dsig:Signature&gt;<br> &lt;/SignatureEnvironment&gt;<br> &lt;/CreateXMLSignatureResponse&gt;</pre>
-<p></p>
- <p><code>CreateXMLSignatureResponse</code> enth&auml;lt je erzeugter Signatur ein Element <code>SignatureEnvironment</code> (in diesem Fall genau ein Element). <code>SignatureEnvironment</code> enth&auml;lt die von SS erzeugte XML-Signatur, die im obigen Request spezifiziert wurde. Man erkennt, dass die XML-Signatur genau ein Daten-Objekt unterzeichnet (ein <code>dsig:Reference</code> Element ist enthalten). Das unterzeichnete Datenobjekt ist in der Signaturstruktur selbst enthalten (<code>enveloping</code>), und zwar in einem <code>dsig:Object</code> Element. </p>
- <h4><a name="webservice_xmlrequests_erstellungxml_daten" id="webservice_xmlrequests_erstellungxml_daten"></a>2.1.2.2 Angabe der zu signierenden Daten </h4>
- <h5>Request</h5>
- <p>Dieses Beispiel stellt die vielf&auml;ltigen M&ouml;glichkeiten vor, wie MOA SS mitgeteilt werden kann, welche Daten signiert (wenn keine Transformationen angegeben werden) bzw. als Eingangsdaten f&uuml;r die Berechnung der Transformationen verwendet werden sollen (wenn Transformationen angegeben werden).</p>
- <p>Mit <a href="../../clients/webservice/resources/requests/CreateXMLSignatureRequest.Refs.xml" target="_blank"><code>CreateXMLSignatureRequest.Refs.xml</code></a> sollen insgesamt neun Datenobjekte signiert werden:</p>
- <pre> &lt;CreateXMLSignatureRequest
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;<br> &lt;KeyIdentifier&gt;KG_allgemein&lt;/KeyIdentifier&gt;<br> &lt;SingleSignatureInfo SecurityLayerConformity=&quot;false&quot;&gt;</pre>
- <p>Die Signatur soll mit dem Schl&uuml;ssel <code>KG_allgemein</code> erstellt werden; jene Elemente, die speziell f&uuml;r eine Security-Layer V1.1 konforme Signatur notwendig sind (vergleiche <a href="#webservice_xmlrequests_erstellungxml_simple" class="term">Einfaches Beispiel</a>), brauchen nicht erstellt zu werden (<code>SecurityLayerConformity=&quot;false&quot;</code>).</p>
- <pre> &lt;DataObjectInfo Structure=&quot;enveloping&quot; ChildOfManifest=&quot;true&quot;&gt;
- &lt;DataObject&gt;
- &lt;Base64Content&gt;RGllc2UgRGF0ZW4gd2FyZW4gYmFzZTY0IGtvZGllcnQu&lt;/Base64Content&gt;
- &lt;/DataObject&gt;
- &lt;CreateTransformsInfoProfile&gt;
- &lt;CreateTransformsInfo&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;text/plain&lt;/MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
- &lt;/CreateTransformsInfo&gt;
- &lt;/CreateTransformsInfoProfile&gt;
- &lt;/DataObjectInfo&gt;</pre>
- <p>Die Daten sollen in der <span class="term">Enveloping</span> Form in die Signatur integriert werden, d. h. die Daten werden in einem <code>dsig:Object</code> als Teil der XML-Struktur der Signatur aufgenommen (<code>Structure=&quot;enveloping&quot;</code>). Weiters sollen die Daten nicht &uuml;ber &uuml;ber eine <code>dsig:Reference</code> in <code>dsig:SignedInfo</code>, sondern &uuml;ber eine <code>dsig:Reference</code> in einem eigenen <code>dsig:Manifest</code> aufgenommen werden (<code>ChildOfManifest=&quot;true&quot;</code>).</p>
- <p>Die Daten selbst werden explizit in base64 kodierter Form als Inhalt des Elements <code>Base64Content</code> angegeben. Das Attribut <code>DataObject/@Reference</code> darf nicht angegeben werden, da die Daten in der <span class="term">Enveloping</span> Form integriert werden sollen, und <code>Base64Content</code> verwendet wird.</p>
- <p>Es werden - wie in allen &uuml;brigen F&auml;llen dieses Beispiels - keine Transformationen angegeben. Der Mime-Type der zu signierenden Daten wird als <code>text/plain</code> angegeben, da der Inhalt von <code>Base64Content</code> die base64-Kodierung des Texts <code>Diese Daten waren base64 kodiert.</code> ist. </p>
- <pre>
- &lt;DataObjectInfo Structure=&quot;enveloping&quot; ChildOfManifest=&quot;false&quot;&gt;
- &lt;DataObject&gt;
- &lt;XMLContent&gt;&lt;doc:XMLDocument xmlns:doc=&quot;urn:document&quot;&gt;
- &lt;doc:Paragraph&gt;Ich bin der erste Absatz in diesem Dokument.&lt;/doc:Paragraph&gt;
- &lt;doc:Paragraph ParaId=&quot;Para2&quot;&gt;Und ich bin der zweite Absatz in diesem Dokument.
- Ich habe weiters ein eigenens ID-Attribut bekommen.&lt;/doc:Paragraph&gt;
- &lt;/doc:XMLDocument&gt;&lt;/XMLContent&gt;
- &lt;/DataObject&gt;
- &lt;CreateTransformsInfoProfile&gt;
- &lt;CreateTransformsInfo&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;application/xml&lt;/MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
- &lt;/CreateTransformsInfo&gt;
- &lt;/CreateTransformsInfoProfile&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
- <p>Die Daten sollen in der <span class="term">Enveloping</span> Form in die Signatur integriert werden, d. h. die Daten werden in einem <code>dsig:Object</code> als Teil der XML-Struktur der Signatur aufgenommen (<code>Structure=&quot;enveloping&quot;</code>). Diesmal sollen die Daten direkt &uuml;ber eine <code>dsig:Reference</code> in <code>dsig:SignedInfo</code> aufgenommen werden (<code>ChildOfManifest=&quot;false&quot;</code>).</p>
- <p>Die Daten selbst werden explizit als XML-Fragment als Inhalt des Elements <code>XMLContent</code> angegeben. Das Attribut <code>DataObject/@Reference</code> darf nicht angegeben werden, da die Daten in der <span class="term">Enveloping</span> Form integriert werden sollen, und <code>XMLContent</code> verwendet wird.</p>
- <p>Der Mime-Type der zu signierenden Daten wird als <code>application/xml</code> angegeben.</p>
-<pre>
- &lt;DataObjectInfo Structure=&quot;enveloping&quot; ChildOfManifest=&quot;false&quot;&gt;
- &lt;DataObject Reference=&quot;http://localhost:8080/referencedData/Text.txt&quot;/&gt;
- &lt;CreateTransformsInfoProfile&gt;
- &lt;CreateTransformsInfo&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;text/plain&lt;/MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
- &lt;/CreateTransformsInfo&gt;
- &lt;/CreateTransformsInfoProfile&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
-<p>Die Daten sollen in der <span class="term">Enveloping</span> Form in die Signatur integriert werden, d. h. die Daten werden in einem <code>dsig:Object</code> als Teil der XML-Struktur der Signatur aufgenommen (<code>Structure=&quot;enveloping&quot;</code>). Wiederum sollen die Daten direkt &uuml;ber eine <code>dsig:Reference</code> in <code>dsig:SignedInfo</code> aufgenommen werden (<code>ChildOfManifest=&quot;false&quot;</code>).
-</p>
-<p>Die Daten werden diesmal nicht explizit angegeben, sondern mittels der URL in <code>DataObject/@Reference</code> referenziert. MOA SS versucht diese URL aufzul&ouml;sen, um zu den zu signierenden Daten zu gelangen. <code>Base64Content</code> oder <code>XMLContent</code> oder <code>LocRefContent</code> d&uuml;rfen nicht verwendet werden, da die Daten in der <span class="term">Enveloping</span> Form integriert werden sollen, und bereits <code>DataObject/@Reference</code> eingesetzt wird. </p>
-<p>Der Mime-Type der zu signierenden Daten wird als <code>text/plain</code> angegeben.</p>
-<pre>
- &lt;DataObjectInfo Structure=&quot;enveloping&quot; ChildOfManifest=&quot;false&quot;&gt;
- &lt;DataObject&gt;
- &lt;LocRefContent&gt;http://localhost:8080/referencedData/Text.txt&lt;/LocRefContent&gt;
- &lt;/DataObject&gt;
- &lt;CreateTransformsInfoProfile&gt;
- &lt;CreateTransformsInfo&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;text/plain&lt;/MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
- &lt;/CreateTransformsInfo&gt;
- &lt;/CreateTransformsInfoProfile&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
-<p>Die Daten sollen wiederum in der <span class="term">Enveloping</span> Form in die Signatur integriert werden, d. h. die Daten werden in einem <code>dsig:Object</code> als Teil der XML-Struktur der Signatur aufgenommen (<code>Structure=&quot;enveloping&quot;</code>). Wiederum sollen die Daten direkt &uuml;ber eine <code>dsig:Reference</code> in <code>dsig:SignedInfo</code> aufgenommen werden (<code>ChildOfManifest=&quot;false&quot;</code>). </p>
-<p>Die Daten werden wie im vorhergehenden Fall nicht explizit angegeben, sondern referenziert. Diesmal wird die URL jedoch nicht <code>DataObject/@Reference</code> verwendet, sondern als Textinhalt des Elements <code>LocRefContent</code> (<code>LocRef</code> steht f&uuml;r <span class="term">Location Reference</span>). <code>DataObject/@Reference</code> darf in diesem Fall nicht verwendet werden. Diese Methode ist semantisch v&ouml;llig ident mit dem vorhergehenden Fall. </p>
-<p>Der Mime-Type der zu signierenden Daten wird als <code>text/plain</code> angegeben.</p>
-<pre>
- &lt;DataObjectInfo Structure=&quot;detached&quot; ChildOfManifest=&quot;true&quot;&gt;
- &lt;DataObject Reference=&quot;http://localhost:8080/referencedData/Text.b64&quot;&gt;
- &lt;Base64Content&gt;RGllc2UgRGF0ZW4gd2FyZW4gYmFzZTY0IGtvZGllcnQu&lt;/Base64Content&gt;
- &lt;/DataObject&gt;
- &lt;CreateTransformsInfoProfile&gt;
- &lt;CreateTransformsInfo&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;text/plain&lt;/MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
- &lt;/CreateTransformsInfo&gt;
- &lt;/CreateTransformsInfoProfile&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
-<p>Die Daten sollen diesmal in der <span class="term">Detached</span> Form in die Signatur aufgenommen werden, d. h. die Daten werden nicht direkt in die Signaturstruktur integriert, sondern lediglich mittels URI im Attribut <code>URI</code> der anzufertigenden <code>dsig:Reference</code> referenziert (<code>Structure=&quot;detached&quot;</code>). Die Daten sollen indirekt &uuml;ber eine <code>dsig:Reference</code> eines <code>dsig:Manifest</code>s aufgenommen werden (<code>ChildOfManifest=&quot;true&quot;</code>). </p>
-<p>Die URI in <code>DataObject/@Reference</code> enth&auml;lt dabei die URI, die zur Referenzierung in <code>dsig:Reference/@URI</code> aufgenommen werden soll. Die Daten selbst hingegen werden im diesem Beispiel explizit in base64 kodierter Form als Inhalt des Elements <code>Base64Content</code> angegeben. MOA SS l&ouml;st also keine URL zur Erlangung der Daten auf, sondern verwendet den Inhalt von <code>Base64Content</code>. </p>
-<p>Der Mime-Type der zu signierenden Daten wird als <code>text/plain</code> angegeben.</p>
-<pre>
- &lt;DataObjectInfo Structure="detached" ChildOfManifest="false"&gt;
- &lt;DataObject Reference="NichtAufloesbareReferenz1"&gt;
- &lt;XMLContent&gt;&lt;doc:XMLDocument xmlns:doc="urn:document"&gt;
- &lt;doc:Paragraph&gt;Ich bin der erste Absatz in diesem Dokument.&lt;/doc:Paragraph&gt;
- &lt;doc:Paragraph ParaId="Para2"&gt;Und ich bin der zweite Absatz in diesem Dokument.
- Ich habe weiters ein eigenens ID-Attribut bekommen.&lt;/doc:Paragraph&gt;
- &lt;/doc:XMLDocument&gt;
- &lt;/XMLContent&gt;
- &lt;/DataObject&gt;
- &lt;CreateTransformsInfoProfile&gt;
- &lt;CreateTransformsInfo&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;application/xml&lt;/MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
- &lt;/CreateTransformsInfo&gt;
- &lt;/CreateTransformsInfoProfile&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
-<p>Die Daten sollen auch diesmal in der <span class="term">Detached</span> Form in die Signatur aufgenommen werden, d. h. die Daten werden nicht direkt in die Signaturstruktur integriert, sondern lediglich mittels URI im Attribut <code>URI</code> der anzufertigenden <code>dsig:Reference</code> referenziert (<code>Structure=&quot;detached&quot;</code>). Diesmal sollen die Daten direkt &uuml;ber eine <code>dsig:Reference</code> in <code>dsig:SignedInfo</code> aufgenommen werden (<code>ChildOfManifest=&quot;false&quot;</code>).
-</p>
-<p>Die URI in <code>DataObject/@Reference</code> enth&auml;lt dabei die URI, die zur Referenzierung in <code>dsig:Reference/@URI</code> aufgenommen werden soll. Die Daten selbst hingegen werden im diesem Beispiel explizit als XML-Fragment in <code>XMLContent</code> angegeben. MOA SS l&ouml;st auch hier keine URL zur Erlangung der Daten auf, sondern verwendet den Inhalt von <code>XMLContent</code>. Zur Verdeutlichung dieses Umstandes wurde die URI in <code>DataObject/@Reference</code> auf einen Wert gesetzt, der von MOA SS ganz sicher nicht aufgel&ouml;st werden kann (<code>NichtAufloesbareReferenz1</code>). </p>
-<p>Der Mime-Type der zu signierenden Daten wird als <code>application/xml</code> angegeben.</p>
-<pre>
- &lt;DataObjectInfo Structure=&quot;detached&quot; ChildOfManifest=&quot;false&quot;&gt;
- &lt;DataObject Reference=&quot;http://localhost:8080/referencedData/Text.txt&quot;&gt;
- &lt;/DataObject&gt;
- &lt;CreateTransformsInfoProfile&gt;
- &lt;CreateTransformsInfo&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;text/plain&lt;/MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
- &lt;/CreateTransformsInfo&gt;
- &lt;/CreateTransformsInfoProfile&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
-<p>Wiederum sollen die Daten in der <span class="term">Detached</span> Form in die Signatur aufgenommen werden (<code>Structure=&quot;detached&quot;</code>). Wie zuvor sollen die Daten direkt &uuml;ber eine <code>dsig:Reference</code> in <code>dsig:SignedInfo</code> aufgenommen werden (<code>ChildOfManifest=&quot;false&quot;</code>). </p>
-<p>Die URI in <code>DataObject/@Reference</code> enth&auml;lt dabei die URI, die zur Referenzierung in <code>dsig:Reference/@URI</code> aufgenommen werden soll. Nachdem eine explizite Angabe der Daten mittels <code>Base64Content</code>, <code>XMLContent</code> oder <code>LocRefContent</code> unterbleibt, wird MOA SS versuchen, die URI in <code>dsig:Reference/@URI</code> als URL aufzul&ouml;sen, um so zu den zu signierenden Daten zu gelangen. </p>
-<p>Der Mime-Type der zu signierenden Daten wird als <code>text/plain</code> angegeben.</p>
-<pre>
- &lt;DataObjectInfo Structure=&quot;detached&quot; ChildOfManifest=&quot;false&quot;&gt;
- &lt;DataObject Reference=&quot;NichtAufloesbareReferenz2&quot;&gt;
- &lt;LocRefContent&gt;http://localhost:8080/referencedData/Text.txt&lt;/LocRefContent&gt;
- &lt;/DataObject&gt;
- &lt;CreateTransformsInfoProfile&gt;
- &lt;CreateTransformsInfo&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;text/plain&lt;/MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
- &lt;/CreateTransformsInfo&gt;
- &lt;/CreateTransformsInfoProfile&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
-<p>Wiederum sollen die Daten in der <span class="term">Detached</span> Form in die Signatur aufgenommen werden (<code>Structure=&quot;detached&quot;</code>). Wie zuvor sollen die Daten direkt &uuml;ber eine <code>dsig:Reference</code> in <code>dsig:SignedInfo</code> aufgenommen werden (<code>ChildOfManifest=&quot;false&quot;</code>).</p>
-<p>Die URI in <code>DataObject/@Reference</code> enth&auml;lt dabei die URI, die zur Referenzierung in <code>dsig:Reference/@URI</code> aufgenommen werden soll. Den Hinweis, wie MOA SS zu den zu signierenden Daten gelangen soll, ist jedoch in LocRefContent enthalten. MOA SS wird also versuchen, die dort enthaltene URL aufzul&ouml;sen, um zu den zu signierenden Daten zu gelangen. Zur Verdeutlichung dieses Umstandes wurde die URI in <code>DataObject/@Reference</code> auf einen Wert gesetzt, der von MOA SS ganz sicher nicht aufgel&ouml;st werden kann (<code>NichtAufloesbareReferenz2</code>). Diese Art der Datenangabe kann eingesetzt werden, wenn die Daten zum Zeitpunkt der Signaturerstellung von einem anderen Ort bezogen werden m&uuml;ssen, als sp&auml;ter dann bei der Signaturpr&uuml;fung.</p>
-<p>Der Mime-Type der zu signierenden Daten wird als <code>text/plain</code> angegeben.</p>
-<pre>
- &lt;DataObjectInfo Structure=&quot;detached&quot; ChildOfManifest=&quot;false&quot;&gt;
- &lt;DataObject Reference=&quot;&quot;/&gt;
- &lt;CreateTransformsInfoProfile&gt;
- &lt;CreateTransformsInfo&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#enveloped-signature&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;application/xml&lt;/MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
- &lt;/CreateTransformsInfo&gt;
- &lt;/CreateTransformsInfoProfile&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
-<p>Im letzten Fall schlie&szlig;lich sollen wiederum Daten in der <span class="term">Detached</span> Form in die Signatur aufgenommen werden (<code>Structure=&quot;detached&quot;</code>). Wie zuvor sollen die Daten direkt &uuml;ber eine <code>dsig:Reference</code> in <code>dsig:SignedInfo</code> aufgenommen werden (<code>ChildOfManifest=&quot;false&quot;</code>).</p>
-<p>Die Referenz auf die zu signierenden Daten ist wiederum in <code>DataObject/@Reference</code> enthalten; sie verweist diesmal jedoch nicht auf ein externes Dokument, sondern auf das gesamte (XML-)Dokument, in das die zu erstellende Signatur integriert werden soll, und zwar, indem <code>DataObject/@Reference</code> den leeren String (<code>&quot;&quot;</code>) enth&auml;lt. Nachdem dadurch zwangsl&auml;ufig auch die Signatur in den zu signierenden Daten enthalten w&auml;re, wird die Signatur durch die Angabe einer Enveloped Signature Transform aus den zu signierenden Daten herausgenommen, bevor dar&uuml;ber der Hashwert berechnet wird (dsig:Transform).</p>
-<p>Offen bleibt die Frage, wie MOA SS nun wei&szlig;, in welches (XML-)Dokument es die die Signatur integrieren soll. Siehe dazu die Erl&auml;uterungen zum n&auml;chsten Ausschnitts des Requests. </p>
-<p>Der Mime-Type der zu signierenden Daten wird als <code>application/xml</code> angegeben.</p>
-<pre>
- &lt;CreateSignatureInfo&gt;
- &lt;CreateSignatureEnvironment&gt;
- &lt;LocRefContent&gt;http://localhost:8080/referencedData/XMLDocument.xml&lt;/LocRefContent&gt;
- &lt;/CreateSignatureEnvironment&gt;
- &lt;CreateSignatureEnvironmentProfile&gt;
- &lt;CreateSignatureLocation Index=&quot;4&quot; xmlns:doc=&quot;urn:document&quot;&gt;/doc:XMLDocument&lt;/CreateSignatureLocation&gt;
- &lt;/CreateSignatureEnvironmentProfile&gt;
- &lt;/CreateSignatureInfo&gt;
-</pre>
-<p>Das Element <code>CreateSignatureInfo</code> ist grunds&auml;tzlich optional, und muss nur angegeben werden, wenn die zu erstellende Signatur von MOA SS in ein bestehendes XML-Dokument integriert werden soll (was in diesem Beispiel ja der Fall ist).</p>
-<p><code>CreateSignatureEnvironment</code> enth&auml;lt das XML-Dokument, in das die zu erstellende Signatur integriert werden soll. In diesem Beispiel wird dieses Dokument mit Hilfe von <code>LocRefContent</code> referenziert, d. h. MOA SS wird versuchen, die darin enthaltene URL aufzul&ouml;sen, um das XML-Dokument zu erhalten. Alternativ k&ouml;nnte auch <code>Base64Content</code> (explizite Angabe des XML-Dokuments in base64 kodierter Form) oder <code>XMLContent</code> (direkte Angabe des XML-Dokuments im Request) verwendet werden.</p>
-<p><a name="webservice_xmlrequests_erstellungxml_daten_hinweisCreateSignatureLocation"></a><code>CreateSignatureLocation</code> enth&auml;lt die Angabe jener Stelle, an der die Signatur in das XML-Dokument eingesetzt werden soll. Der Inhalt dieses Elements bezeichnet mittels <span class="term">XPath</span>-Ausdruck das <span class="term">Parent</span>-Element der Signatur, der Wert des Attributs <code>CreateSignatureLocation/@Index</code> enth&auml;lt den Offset innerhalb dieses <span class="term">Parent</span>-Elements. Betrachten Sie zur Verdeutlichung das XML-Dokument <a href="../../clients/referencedData/src/main/webapp/XMLDocument.xml" target="_blank"><code>XMLDocument.xml</code></a>, in das die Signatur integriert werden soll: Die Signatur soll unmittelbar nach dem zweiten <code>doc:Paragraph</code> Element in das XML-Dokument eingef&uuml;gt werden. Der Inhalt von <code>CreateSignatureLocation</code> (<code>/doc:XMLDocument</code>) selektiert das zuk&uuml;nftige <span class="term">Parent</span>-Element der Signatur, also <code>doc:XMLDocument</code>. Das Attribut <code>Index</code> enth&auml;lt deshalb den Wert <code>4</code> (und nicht etwa <code>2</code> oder <code>3</code>), da erstens bei <code>0</code> zu z&auml;hlen begonnen wird, und zweitens auch die Text-Knoten, die lediglich Whitespace enthalten, f&uuml;r diesen Offset z&auml;hlen (um diese Textknoten erkennen zu k&ouml;nnen, m&uuml;ssen Sie das XML-Dokument in einem Text-Editor &ouml;ffnen). Beachten Sie weiters, dass das im <span class="term">XPath</span>-Ausdruck verwendete Namespace-Prefix <code>doc</code> im Kontext des Elements <code>CreateSignatureLocation</code> bekannt sein muss. Deshalb enth&auml;lt dieses Element auch die entsprechende Namespace-Deklaration (<code>xmlns:doc=&quot;urn:document&quot;</code>).</p>
-<h5>Response</h5>
-<p><code><a href="../../clients/webservice/resources/requests/CreateXMLSignatureRequest.Refs.resp.xml" target="_blank">CreateXMLSignatureRequest.Refs.resp.xml</a></code> ist eine typische Response des SS Webservices auf den obigen Request. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass die dargestellte Response zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde.</p>
-<pre>
- &lt;CreateXMLSignatureResponse
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;SignatureEnvironment&gt;
- &lt;doc:XMLDocument xmlns:doc=&quot;urn:document&quot;&gt;
- &lt;doc:Paragraph&gt;Ich bin der erste Absatz in diesem Dokument.&lt;/doc:Paragraph&gt;
- &lt;doc:Paragraph ParaId=&quot;Para2&quot;&gt;Und ich bin der zweite Absatz in diesem Dokument.
- Ich habe weiters ein eigenens ID-Attribut bekommen.&lt;/doc:Paragraph&gt;
- &lt;dsig:Signature Id=&quot;signature-1-1&quot; xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;dsig:SignedInfo&gt;
- &lt;dsig:CanonicalizationMethod Algorithm=&quot;http://www.w3.org/TR/2001/REC-xml-c14n-20010315&quot;/&gt;
- &lt;dsig:SignatureMethod Algorithm=&quot;http://www.w3.org/2001/04/xmldsig-more#ecdsa-sha1&quot;/&gt;
-</pre>
-<p>Die Antwort enth&auml;lt in <code>SignatureEnvironment</code> das Ergebnis der Signaturerstellung. Nachdem die Signatur in ein bestehendes XML-Dokument integriert werden sollte, enth&auml;lt <code>SignatureEnvironment</code> das Dokument-Element dieses XML-Dokuments (<code>doc:XMLDocument</code>). Man erkennt auch gut, dass die XML-Signatur als f&uuml;nfter Kindknoten (Offset <code>4</code>) von <code>doc:XMLDocument</code> eingef&uuml;gt wurde.</p>
-<pre>
- &lt;dsig:Reference Id=&quot;reference-1-2&quot; URI=&quot;#xpointer(id(&apos;signed-data-1-2-1&apos;)/node())&quot;&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;A8ml6/aZKCmj1hONwvLItIwGHoc=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
-</pre>
-<p>Diese <code>dsig:Reference</code> wurde auf Grund des zweiten <code>DataObjectInfo</code> Elements im Request erstellt. Man erkennt gut den Verweis in <code>dsig:Reference/@URI</code> auf das <code>dsig:Object</code>, das die signierten Daten enth&auml;lt (der XPointer verweist auf s&auml;mtliche Kindknoten jenes Elements, das ein ID-Attribut mit dem Wert <code>signed-data-1-2-1</code> aufweist, des ersten vorkommenden <code>dsig:Object</code>s der Signatur). </p>
-<pre>
- &lt;dsig:Reference Id=&quot;reference-1-3&quot; URI=&quot;#xpointer(id(&apos;signed-data-1-3-1&apos;)/node())&quot;&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#base64&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;0P878Dsmtxv5goj+6KgNmj6S/EE=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
-</pre>
-<p>Diese <code>dsig:Reference</code> wurde auf Grund des dritten <code>DataObjectInfo</code> Elements im Request erstellt. Die Text-Daten wurden von der angegebenen URL (<code>http://localhost:8080/referencedData/Text.txt</code>) aufgel&ouml;st und in das <code>dsig:Object</code> mit dem ID-Attribut <code>signed-data-1-3-1</code> gesteckt. Um Probleme mit nicht in XML darstellbare Zeichen zu vermeiden, wurde der Text nicht direkt signiert, sondern in base64 kodierter Form in das <code>dsig:Object</code> integriert, und eine Transformation zur base64 Dekodierung spezifiziert. </p>
-<pre>
- &lt;dsig:Reference Id=&quot;reference-1-4&quot; URI=&quot;#xpointer(id(&apos;signed-data-1-4-1&apos;)/node())&quot;&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#base64&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;0P878Dsmtxv5goj+6KgNmj6S/EE=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
-</pre>
-<p>Diese <code>dsig:Reference</code> wurde auf Grund des vierten <code>DataObjectInfo</code> Elements im Request erstellt. Wie schon bei der Beschreibung des Requests angef&uuml;hrt, ist die erstellte<code> dsig:Reference</code> semantisch genau gleich wie die vorhergehende. </p>
-<pre>
- &lt;dsig:Reference Id=&quot;reference-1-6&quot; URI=&quot;NichtAufloesbareReferenz1&quot;&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;2b83+NbXDFijHzz+sH0T7fM36sA=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
-</pre>
-<p>Diese <code>dsig:Reference</code> wurde auf Grund des sechsten <code>DataObjectInfo</code> Elements im Request erstellt. Die zu signierenden Daten wurden aus dem <code>XMLContent</code> des Requests entnommen, als Wert von <code>dsig:Reference/@URI</code> wurde der Wert von <code>DataObjectInfo/@Reference</code> &uuml;bernommen. </p>
-<pre>
- &lt;dsig:Reference Id=&quot;reference-1-7&quot; URI=&quot;http://localhost:8080/referencedData/Text.txt&quot;&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;0P878Dsmtxv5goj+6KgNmj6S/EE=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
-</pre>
-<p>Diese <code>dsig:Reference</code> wurde auf Grund des siebenten <code>DataObjectInfo</code> Elements im Request erstellt. Um zu den zu signierenden Daten zu gelangen, wurde von MOA SS die URL in <code>DataObjectInfo/@Reference</code> aufgel&ouml;st. Gleicherma&szlig;en wurde die URL in <code>dsig:Reference/@URI</code> &uuml;bernommen. </p>
-<pre>
- &lt;dsig:Reference Id=&quot;reference-1-8&quot; URI=&quot;NichtAufloesbareReferenz2&quot;&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;0P878Dsmtxv5goj+6KgNmj6S/EE=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
-</pre>
-<p>Diese <code>dsig:Reference</code> wurde auf Grund des achten <code>DataObjectInfo</code> Elements im Request erstellt. Um zu den zu signierenden Daten zu gelangen, wurde von MOA SS die URL in LocRefContent aufgel&ouml;st. In <code>dsig:Reference/@URI</code> wurde der Wert aus <code>DataObjectInfo/@Reference</code> &uuml;bernommen.</p>
-<pre>
- &lt;dsig:Reference Id=&quot;reference-1-9&quot; URI=&quot;&quot;&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#enveloped-signature&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;2b83+NbXDFijHzz+sH0T7fM36sA=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
-</pre>
-<p>Diese <code>dsig:Reference</code> wurde auf Grund des neunten <code>DataObjectInfo</code> Elements im Request erstellt. Als zu signierende Daten wurde das XML-Dokument ausgew&auml;hlt, in das die XML-Signatur integriert werden solle. Vor der Berechnung des Hashwerts wurde eine <span class="term">Enveloped Signature</span> Transformation zwischengeschaltet, welche die XML-Struktur der Signatur selbst aus den Hash-Eingangsdaten herausschneidet. </p>
-<pre>
- &lt;dsig:Reference Type=&quot;http://www.w3.org/2000/09/xmldsig#Manifest&quot; URI=&quot;#dsig-manifest-1-1&quot;&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;mNsxUkFoF46XZVBivBo4aasFCTQ=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
-</pre>
-<p>Diese <code>dsig:Reference</code> verweist auf das <code>dsig:Manifest</code> weiter unten in der XML-Struktur der Signatur. Das <code>dsig:Manifest</code> wurde angelegt, weil bei zwei <code>DataObjectInfo</code>s im Request das Attribut <code>ChildOfManifest</code> auf den Wert <code>true</code> gesetzt wurde.</p>
-<pre>
- &lt;/dsig:SignedInfo&gt;
- &lt;dsig:SignatureValue&gt;...&lt;/dsig:SignatureValue&gt;
- &lt;dsig:KeyInfo&gt;...&lt;/dsig:KeyInfo&gt;
- &lt;dsig:Object Id=&quot;signed-data-1-2-1&quot;&gt;
- &lt;doc:XMLDocument xmlns:doc=&quot;urn:document&quot;&gt;
- &lt;doc:Paragraph&gt;Ich bin der erste Absatz in diesem Dokument.&lt;/doc:Paragraph&gt;
- &lt;doc:Paragraph ParaId=&quot;Para2&quot;&gt;Und ich bin der zweite Absatz in diesem Dokument.
- Ich habe weiters ein eigenens ID-Attribut bekommen.&lt;/doc:Paragraph&gt;
- &lt;/doc:XMLDocument&gt;
- &lt;/dsig:Object&gt;
- &lt;dsig:Object Id=&quot;signed-data-1-3-1&quot;&gt;RGllc2UgRGF0ZW4gc2luZCByZWluZXIgVGV4dC4=&lt;/dsig:Object&gt;
- &lt;dsig:Object Id=&quot;signed-data-1-4-1&quot;&gt;RGllc2UgRGF0ZW4gc2luZCByZWluZXIgVGV4dC4=&lt;/dsig:Object&gt;
- &lt;dsig:Object Id=&quot;signed-data-1-1-1&quot;&gt;RGllc2UgRGF0ZW4gd2FyZW4gYmFzZTY0IGtvZGllcnQu&lt;/dsig:Object&gt;
-</pre>
-<p><code>SignatureValue</code> und <code>KeyInfo</code> werden an dieser Stelle nicht n&auml;her betrachtet.</p>
-<p>Das erste <code>dsig:Object</code> enth&auml;lt die Daten aus dem zweiten <code>DataObjectInfo</code>; das zweite <code>dsig:Object</code> jene aus dem dritten <code>DataObjectInfo</code>; das dritte <code>dsig:Object</code> jene aus dem vierten <code>DataObjectInfo</code>; das vierte <code>dsig:Object</code> schlie&szlig;lich jene aus dem ersten <code>DataObjectInfo</code>.</p>
-<pre>
- &lt;dsig:Object&gt;
- &lt;dsig:Manifest Id=&quot;dsig-manifest-1-1&quot;&gt;
- &lt;dsig:Reference Id=&quot;reference-1-1&quot; URI=&quot;#xpointer(id(&apos;signed-data-1-1-1&apos;)/node())&quot;&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#base64&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;a53jOsL7KbyltpByAK87FoMZphI=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
- &lt;dsig:Reference Id=&quot;reference-1-5&quot; URI=&quot;http://localhost:8080/referencedData/Text.b64&quot;&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;a53jOsL7KbyltpByAK87FoMZphI=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
- &lt;/dsig:Manifest&gt;
- &lt;/dsig:Object&gt;
-</pre>
-<p>Das f&uuml;nfte <code>dsig:Object</code> enth&auml;lt das <code>dsig:Manifest</code>, das von MOA SS auf Grund des ersten bzw. f&uuml;nften <code>DataObjectInfo</code> des Requests erstellt wurde. Darin enthalten sind die zum ersten und f&uuml;nten <code>DataObjectInfo</code> korrespondierenden <code>dsig:Reference</code> Elemente. Die Daten f&uuml;r die erste im <code>dsig:Manifest</code> enthaltene <code>dsig:Reference</code> wurden aus dem <code>Base64Content</code> Element des ersten <code>DataObjectInfo</code> entnommen, jene f&uuml;r die zweite <code>dsig:Reference</code> aus dem <code>Base64Content</code> Element des f&uuml;nften <code>DataObjectInfo</code>. Der Wert des <code>URI</code> Attributs der zweiten <code>dsig:Reference</code> wurde aus dem <code>DataObject/@Reference</code> des f&uuml;nften <code>DataObjectInfo</code> &uuml;bernommen. </p>
-<h4><a name="webservice_xmlrequests_erstellungxml_transformationen" id="webservice_xmlrequests_erstellungxml_transformationen"></a>2.1.2.3 Transformationen</h4>
-<h5>Request</h5>
-<p>Dieses Beispiel (<a href="../../clients/webservice/resources/requests/CreateXMLSignatureRequest.Transforms.xml" target="_blank"><code>CreateXMLSignatureRequest.Transforms.xml</code></a>) stellt die wichtigsten Transformationen vor, die von MOA SS bei der Erstellung einer Signatur verwendet werden k&ouml;nnen. Eine Transformation bzw. eine Kette mehrerer hintereinandergeschalteter Transformationen werden auf die Referenz-Eingangsdaten (also jene Daten, die in DataObjectInfo/DataObject angegeben werden) angewendet; das Ergebnis flie&szlig;t dann in die Hashwert-Berechnung ein. </p>
-<pre>&lt;CreateXMLSignatureRequest
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;<br> &lt;KeyIdentifier&gt;KG_allgemein&lt;/KeyIdentifier&gt;<br> &lt;SingleSignatureInfo SecurityLayerConformity=&quot;false&quot;&gt;</pre>
-<p>Die Signatur soll mit dem Schl&uuml;ssel <code>KG_allgemein</code> erstellt werden; jene Elemente, die speziell f&uuml;r eine Security-Layer V1.1 konforme Signatur notwendig sind (vergleiche <a href="#webservice_xmlrequests_erstellungxml_simple" class="term">Einfaches Beispiel</a>), brauchen nicht erstellt zu werden (<code>SecurityLayerConformity=&quot;false&quot;</code>).</p>
-<pre>
- &lt;DataObjectInfo Structure=&quot;detached&quot;&gt;
- &lt;DataObject Reference=&quot;http://localhost:8080/referencedData/Text.b64&quot;/&gt;
- &lt;CreateTransformsInfoProfile&gt;
- &lt;CreateTransformsInfo&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#base64&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;text/plain&lt;/MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
- &lt;/CreateTransformsInfo&gt;
- &lt;/CreateTransformsInfoProfile&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
-<p>F&uuml;r das erste zu signierende Datenobjekt werden die Referenz-Eingangsdaten mittels <code>DataObject/@Reference</code> referenziert, d. h. MOA SS l&ouml;st die darin enthaltene URL auf, um zu den Daten zu gelangen. Es handelt sich dabei um einen <a href="../../clients/referencedData/src/main/webapp/Text.b64" target="_blank">base64 kodierten Text</a>.</p>
-<p>Unterschrieben werden soll nun aber nicht dieser base64 kodierte Text, sondern der entsprechend dekodierte Text. Dies l&auml;sst sich elegant durch die Angabe einer <span class="term"><a href="http://www.w3.org/TR/xmldsig-core/#sec-Base-64" target="_blank">Base64 Decoding</a></span><a href="http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/#sec-Base-64" target="_blank"> Transformation</a> bewerkstelligen. Dazu wird als erstes Kindelement von <code>CreateTransformsInfo</code> ein <code>dsig:Transforms</code> Element im Request angegeben. Dieses <code>dsig:Transforms</code> Element nimmt ein oderer mehrere <code>dsig:Transform</code> Elemente auf, wobei jedes <code>dsig:Transform</code> Element f&uuml;r eine Transformation steht. In unserem Fall wird nur eine einzige Transformation ben&ouml;tigt; die Angabe, um welche Transformation es sich handelt, wird durch das Attribut <code>dsig:Transform/@Algorithm</code> angegeben. F&uuml;r die <span class="term">Base64 Decoding</span> Transformation muss der Wert auf <code>http://www.w3.org/2000/09/xmldsig#base64</code> gesetzt werden. Sie ist eine parameterlose Transformation, d. h. <code>dsig:Transform</code> hat keine Kindelemente.</p>
-<p>Der Mime-Type der zu signierenden Daten wird als <code>text/plain</code> angegeben, da ja tats&auml;chlich nach der durchgef&uuml;hrten Transformation dekodierter Text vorliegt, &uuml;ber den dann der Hashwert berechnet wird. </p>
-<pre>
- &lt;DataObjectInfo Structure=&quot;detached&quot;&gt;
- &lt;DataObject Reference=&quot;http://localhost:8080/referencedData/XMLDocument.xml&quot;/&gt;
- &lt;CreateTransformsInfoProfile&gt;
- &lt;CreateTransformsInfo&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2002/06/xmldsig-filter2&quot;&gt;
- &lt;xp2:XPath
- xmlns:xp2=&quot;http://www.w3.org/2002/06/xmldsig-filter2&quot;
- xmlns:doc=&quot;urn:document&quot;
- Filter=&quot;subtract&quot;&gt;/doc:XMLDocument/doc:Paragraph[2]&lt;/xp2:XPath&gt;
- &lt;/dsig:Transform&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/TR/1999/REC-xslt-19991116&quot;&gt;
- &lt;xsl:stylesheet version=&quot;1.0&quot;
- xmlns:xsl=&quot;http://www.w3.org/1999/XSL/Transform&quot; xmlns:doc=&quot;urn:document&quot;&gt;
- &lt;xsl:output encoding=&quot;UTF-8&quot; method=&quot;xml&quot; indent=&quot;yes&quot;/&gt;
- &lt;xsl:template match=&quot;/doc:XMLDocument&quot;&gt;
- &lt;html xmlns=&quot;http://www.w3.org/1999/xhtml&quot;&gt;
- &lt;head&gt;
- &lt;title&gt;HTML-Dokument&lt;/title&gt;
- &lt;/head&gt;
- &lt;body&gt;
- &lt;xsl:for-each select=&quot;doc:Paragraph&quot;&gt;
- &lt;p&gt;
- &lt;xsl:value-of select=&quot;child::text()&quot;/&gt;
- &lt;/p&gt;
- &lt;/xsl:for-each&gt;
- &lt;/body&gt;
- &lt;/html&gt;
- &lt;/xsl:template&gt;
-&lt;/xsl:stylesheet&gt;&lt;/dsig:Transform&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/TR/2001/REC-xml-c14n-20010315&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;application/xhtml+xml&lt;/MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
- &lt;/CreateTransformsInfo&gt;
- &lt;/CreateTransformsInfoProfile&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
-<p>F&uuml;r das zweite zu signierende Datenobjekt werden die Referenz-Eingangsdaten wiederum mittels <code>DataObject/@Reference</code> referenziert, d. h. MOA SS l&ouml;st die darin enthaltene URL auf, um zu den Daten zu gelangen. Es handelt sich dabei um ein <a href="../../clients/webservice/resources/requests/CreateXMLSignatureRequest.Transforms.xml" target="_blank">XML-Dokument</a>.</p>
-<p>Zun&auml;chst soll von diesem XML-Dokument jedoch ein Teil weggeschnitten werden, da er nicht mitsigniert werden soll. F&uuml;r diesen Zweck bietet sich die<a href="http://www.w3.org/TR/2002/REC-xmldsig-filter2-20021108/" target="_blank" class="term"> XPath Filter 2 Transformation</a> an. Das Attribut <code>dsig:Transform/@Algorithm</code> ist dazu auf den Wert <code>http://www.w3.org/2002/06/xmldsig-filter2</code> zu setzen. Diese Transformation ben&ouml;tigt weiters Transformationsparameter. Diese werden als Kindelement <code>xp2:XPath</code> in <code>dsig:Transform</code> angegeben. Das Attribut <code>Filter</code> selektiert den Filtermodus; f&uuml;r das Bespiel wird den Modus <code>subtract</code> ben&ouml;tigt, da ein Teil weggefiltert werden soll. Der Textinhalt von <code>xp2:XPath</code> ist ein XPath-Ausdruck, der den Wurzelknoten jenes Teilbaums selektiert, der weggefiltert werden soll. F&uuml;r das Beispiel soll das zweite <code>doc:Paragraph</code> Element des XML-Dokuments weggefiltert werden. Beachten Sie, dass das im XPath-Ausdruck verwendete Namespace-Prefix <code>doc</code> im Kontext des <code>xp2:XPath</code> Elements deklariert sein muss.</p>
-<p>Als n&auml;chstes soll nun das XML-Dokument mit Hilfe eines Stylesheets in ein XHTML-Dokument &uuml;bergef&uuml;hrt werden. Dazu kann die <a href="http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/#sec-XSLT" target="_blank" class="term">XSLT Transformation</a> verwendet werden. Das Attribut <code>dsig:Transform/@Algorithm</code> ist dazu auf den Wert <code>http://www.w3.org/TR/1999/REC-xslt-19991116</code> zu setzen. Auch diese Transformation ben&ouml;tigt Transformationsparameter: Als Kindelement von <code>dsig:Transform</code> wird jener Stylesheet angegeben, mit dem die Stylesheet-Transformation ausgef&uuml;hrt werden soll.</p>
-<p>Abschlie&szlig;end soll, wie in der Spezifikation der<span class="term"> XSLT-Transformation</span> <a href="http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/#sec-XSLT" target="_blank">empfohlen</a>, eine Kanonisierungstransformation angewendet werden. Damit k&ouml;nnen Unterschiede im Output unterschiedlicher XSLT-Engines, wie sie in der Praxis vorkommen, abgefangen werden. Beachten Sie, dass als Voraussetzung dazu die Output-Methode im Stylesheet auf <code>xml</code> festgelegt werden muss (<code>&lt;xsl:output method=&quot;xml&quot;&gt;</code>), denn nur XML-Output kann anschlie&szlig;end kanonisiert werden. Das Attribut <code>dsig:Transform/@Algorithm</code> ist f&uuml;r die <a href="http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/#sec-c14nAlg" target="_blank"><span class="term">Canonical XML Transformation</span></a> auf den Wert http://www.w3.org/TR/2001/REC-xml-c14n-20010315 zu setzen. Die Transformation ben&ouml;tigt keine Transformationsparameter.</p>
-<p>Das Ergebnis der drei hintereinandergeschalteten Transformationen, welches der Hashwert-Berechnung zuflie&szlig;t, finden Sie <a href="../../clients/webservice/resources/requests/transformResults/CreateXMLSignatureRequest.Transforms.hashinput.ref2.txt" target="_blank">hier</a>. </p>
-<h5>Response</h5>
-<p><code><a href="../../clients/webservice/resources/requests/CreateXMLSignatureRequest.Transforms.resp.xml" target="_blank">CreateXMLSignatureRequest.Transforms.resp.xml</a></code> ist eine typische Response des SS Webservices auf den obigen Request. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass die dargestellte Response zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde.</p>
-<pre>
-&lt;CreateXMLSignatureResponse
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;SignatureEnvironment&gt;
- &lt;dsig:Signature Id=&quot;signature-1-1&quot; xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;dsig:SignedInfo&gt;
- &lt;dsig:CanonicalizationMethod Algorithm=&quot;http://www.w3.org/TR/2001/REC-xml-c14n-20010315&quot;/&gt;
- &lt;dsig:SignatureMethod Algorithm=&quot;http://www.w3.org/2001/04/xmldsig-more#ecdsa-sha1&quot;/&gt;
-</pre>
-<p>Die Antwort enth&auml;lt in <code>SignatureEnvironment</code> das Ergebnis der Signaturerstellung. Nachdem die Signatur in kein bestehendes Dokument eingef&uuml;gt werden sollte, enh&auml;lt <code>SignatureEnvironment</code> direkt die erzeugte XML-Signatur (<code>dsig:Signature</code>).</p>
-<pre>
- &lt;dsig:Reference Id=&quot;reference-1-1&quot; URI=&quot;http://localhost:8080/referencedData/Text.b64&quot;&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#base64&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;a53jOsL7KbyltpByAK87FoMZphI=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
-</pre>
-<p>Die erste <code>dsig:Reference</code> wurde auf Grund des ersten <code>DataObjectInfo</code> im Request erstellt. Man erkennt dass die URL auf die Referenz-Eingangsdaten (Wert des Attributs <code>dsig:Reference/@URI</code>) aus <code>DataObject/@Reference</code> &uuml;bernommen und eine <span class="term">Base64 Decoding Transformation</span> eingef&uuml;gt w&uuml;rde. Die im Request spezifizierten Transformationen werden also eins zu eins in die XML-Signatur &uuml;bernommen.</p>
-<pre>
- &lt;dsig:Reference Id=&quot;reference-1-2&quot; URI=&quot;http://localhost:8080/referencedData/XMLDocument.xml&quot;&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2002/06/xmldsig-filter2&quot;&gt;
- &lt;xp2:XPath Filter=&quot;subtract&quot; xmlns:doc=&quot;urn:document&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;
- xmlns:xf2=&quot;http://www.w3.org/2002/06/xmldsig-filter2&quot;
- xmlns:xp2=&quot;http://www.w3.org/2002/06/xmldsig-filter2&quot;&gt;/doc:XMLDocument/doc:Paragraph[2]&lt;/xp2:XPath&gt;
- &lt;/dsig:Transform&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/TR/1999/REC-xslt-19991116&quot;&gt;
- &lt;xsl:stylesheet version=&quot;1.0&quot;
- xmlns:doc=&quot;urn:document&quot; xmlns:xsl=&quot;http://www.w3.org/1999/XSL/Transform&quot;&gt;
- &lt;xsl:output encoding=&quot;UTF-8&quot; indent=&quot;yes&quot; method=&quot;xml&quot;/&gt;
- &lt;xsl:template match=&quot;/doc:XMLDocument&quot;&gt;...&lt;/xsl:template&gt;
- &lt;/xsl:stylesheet&gt;
- &lt;/dsig:Transform&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/TR/2001/REC-xml-c14n-20010315&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;fIPwneCpjVqTXwHMN9DFfx6tJIU=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
-</pre>
-<p>Die zweite <code>dsig:Reference</code> wurde auf Grund des zweiten <code>DataObjectInfo</code> im Request erstellt. Man erkennt auch hier gut, dass die URL auf die Referenz-Eingangsdaten (Wert des Attributs <code>dsig:Reference/@URI</code>) aus <code>DataObject/@Reference</code> &uuml;bernommen und die drei Transformationen wie im Request angegeben eingef&uuml;gt wurden. </p>
-<h4><a name="webservice_xmlrequests_erstellungxml_ergaenzungsobjekte"></a>2.1.2.4 Erg&auml;nzungsobjekte </h4>
-<h5>Request</h5>
-<p>Dieses Beispiel (<a href="../../clients/webservice/resources/requests/CreateXMLSignatureRequest.Supplements.xml" target="_blank"><code>CreateXMLSignatureRequest.Supplements.xml</code></a>) stellt die Verwendung von Erg&auml;nzungsobjekten vor. Ein Erg&auml;nzungsobjekt betrifft entweder ein zu signierendes Datum (Zusammenhang mit einem <code>DataObject</code>) oder jenes Dokument, in das eine zu erzeugende Signatur eingef&uuml;gt werden soll (Zusammenhang mit <code>CreateSignatureEnvironment</code>). Es muss dann angegeben werden, wenn in einem zu signierenden Datum bzw. im Einf&uuml;gedokument auf Daten per Referenz verwiesen wird, diese referenzierten Daten aber von MOA SS nicht aufgel&ouml;st werden k&ouml;nnen. Das Erg&auml;nzungsobjekt enth&auml;lt dann genau diese Daten, die nicht von MOA SS aufgel&ouml;st werden k&ouml;nnen.</p>
-<pre>
-&lt;CreateXMLSignatureRequest
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;KeyIdentifier&gt;KG_allgemein&lt;/KeyIdentifier&gt;
- &lt;SingleSignatureInfo SecurityLayerConformity=&quot;false&quot;&gt;
-</pre>
-<p>Die Signatur soll mit dem Schl&uuml;ssel <code>KG_allgemein</code> erstellt werden; jene Elemente, die speziell f&uuml;r eine Security-Layer V1.1 konforme Signatur notwendig sind (vergleiche <a href="#webservice_xmlrequests_erstellungxml_simple" class="term">Einfaches Beispiel</a>), brauchen nicht erstellt zu werden (<code>SecurityLayerConformity=&quot;false&quot;</code>).</p>
-<pre>
- &lt;DataObjectInfo Structure=&quot;detached&quot;&gt;
- &lt;DataObject Reference=&quot;#Para2&quot;/&gt;
-</pre>
-<p>Das zu signierende Datum in diesem Beispiel ist ein Teil des Dokuments, in das die zu erstellende Signatur eingef&uuml;gt werden soll. Der Wert des <code>Reference</code> Attributs ist <code>#Para2</code>, das bedeutet, dass jenes Element des Einf&uuml;gedokuments signiert werden soll, das ein ID-Attribut mit dem Wert <code>#Para2</code> aufweist. Damit MOA SS diesen Hinweis auswerten kann, muss es das Einf&uuml;gedokument validierend parsen, denn sonst w&uuml;sste es ja nicht, welche Attribute &uuml;berhaupt ID-Attribute sind. Das zum validierenden Parsen notwendige XML-Schema wird MOA SS in diesem Beispiel &uuml;ber ein Erg&auml;nzungsobjekt zum Einf&uuml;gedokument mitgeteilt (siehe weiter unten). </p>
-<pre>
- &lt;CreateTransformsInfoProfile&gt;
- &lt;CreateTransformsInfo&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/TR/1999/REC-xslt-19991116&quot;&gt;
- &lt;xsl:stylesheet version=&quot;1.0&quot; xmlns:xsl=&quot;http://www.w3.org/1999/XSL/Transform&quot;&gt;
- &lt;xsl:include href=&quot;XMLDocument.Para.xsl&quot;/&gt;
-&lt;/xsl:stylesheet&gt;
- &lt;/dsig:Transform&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2001/10/xml-exc-c14n#&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- &lt;FinalDataMetaInfo&gt;
- &lt;MimeType&gt;application/xhtml+xml&lt;/MimeType&gt;
- &lt;/FinalDataMetaInfo&gt;
-</pre>
-<p>Das Beispiel enth&auml;lt als erste Transformation eine <span class="term">XSLT-Transformation</span>. Der als Kindelement von <code>dsig:Transform</code> angegebene Stylesheet verweist dabei mittels <code>xsl:include</code> auf einen weiteren Stylesheet. Dieser weitere Stylesheet kann jedoch von MOA nicht direkt aufgel&ouml;st werden, da er als relative Referenz angegeben wird. Deshalb ist es notwendig, diesen weiteren Stylesheet als Erg&auml;nzungsobjekt zu den signierenden Daten anzugeben:</p>
-<
- &lt;/CreateTransformsInfo&gt;
- &lt;Supplement&gt;
- &lt;Content Reference=&quot;XMLDocument.Para.xsl&quot;&gt;
- &lt;LocRefContent&gt;http://localhost:8080/referencedData/XMLDocument.Para.xsl&lt;/LocRefContent&gt;
- &lt;/Content&gt;
- &lt;/Supplement&gt;
- &lt;/CreateTransformsInfoProfile&gt;
- &lt;/DataObjectInfo&gt;
-</pre>
-<p>Ein Erg&auml;nzungsobjekt f&uuml;r zu signierende Daten wird im entsprechenden <code>DataObjectInfo</code> Element angegeben, und zwar als Inhalt des Elements <code>CreateTransformsInfoProfile/Supplement</code>. Das verpflichtend zu verwendende Attribut <code>Content/@Reference</code> enth&auml;lt dabei die Referenz auf das Erg&auml;nzungsobjekt in exakt jener Schreibweise, wie sie in der <code>xsl:include</code> Direktive vorkommt, hier also <code>XMLDocument.Para.xsl</code>. Das Element <code>Content</code> beinhaltet das Erg&auml;nzungsobjekt so, wie es MOA SS verwenden soll (Elemente <code>Base64Content</code> oder <code>XMLContent</code>, vergleiche <a href="#webservice_xmlrequests_erstellungxml_simple"><span class="term">Einfaches Beispiel</span></a>), bzw. enth&auml;lt eine von MOA SS aufl&ouml;sbare Referenz auf das Erg&auml;nzungsobjekt (Element <code>LocRefContent</code>, vergleiche <a href="#webservice_xmlrequests_erstellungxml_simple"><span class="term">Einfaches Beispiel</span></a>). Im konkreten Beispiel wird <code>LocRefContent</code> verwendet. </p>
-<pre>
- &lt;CreateSignatureInfo&gt;
- &lt;CreateSignatureEnvironment
- Reference=&quot;http://localhost:8080/referencedData/XMLDocument.withSchemaHint.xml&quot;/&gt;
- &lt;CreateSignatureEnvironmentProfile&gt;
- &lt;CreateSignatureLocation
- Index=&quot;4&quot; xmlns:doc=&quot;urn:document&quot;&gt;/doc:XMLDocument&lt;/CreateSignatureLocation&gt;
-</pre>
-<p>Eingef&uuml;gt werden soll die zu erzeugende Signatur in ein <a href="../../clients/referencedData/src/main/webapp/XMLDocument.withSchemaHint.xml" target="_blank">bestehendes Dokument</a>, das MOA SS durch Aufl&ouml;sen der in <code>CreateSignatureEnvironment/@Reference</code> angegebenen URL erh&auml;lt. Eingef&uuml;gt werden soll die Signatur als f&uuml;nfter Kindknoten des Wurzelelements <code>doc:XMLDocument</code>. Beachten Sie wiederum die <a href="#webservice_xmlrequests_erstellungxml_daten_hinweisCreateSignatureLocation">Hinweise</a> zur Z&auml;hlweise f&uuml;r das Attribut <code>Index</code> bzw. zur Deklaration der im XPath-Ausdruck verwendeten Namespace-Deklarationen (hier <code>doc</code>). </p>
-<pre>
- &lt;Supplement&gt;
- &lt;Content Reference=&quot;urn:XMLDocument.xsd&quot;&gt;
- &lt;LocRefContent&gt;http://localhost:8080/referencedData/XMLDocument.xsd&lt;/LocRefContent&gt;
- &lt;/Content&gt;
- &lt;/Supplement&gt;
- &lt;/CreateSignatureEnvironmentProfile&gt;
- &lt;/CreateSignatureInfo&gt;
-</pre>
-<p>Wie oben bereits angemerkt, muss MOA SS zur Aufl&ouml;sung der ID-Referenz <code>#Para2</code> das Einf&uuml;gedokument validierend parsen. Im Einf&uuml;gedokument ist zwar nun ein Hinweis auf die dazu notwendige Grammatikinformation in Form eines XML-Schemas enthalten (Attribut <code>xsi:schemaLocation</code> enth&auml;lt den Wert <code>&quot;urn:document urn:XMLDocument.xsd&quot;</code>). Nachdem die darin angegebene URI <code>urn:XMLDocument.xsd</code> jedoch von MOA nicht direkt aufgel&ouml;st werden kann, wird im Request ein Erg&auml;nzungsobjekt zum Einf&uuml;gedokument angegeben (<code>CreateSignatureEnvironmentProfile/Supplement</code>). Das Attribut <code>Content/@Reference</code> enth&auml;lt die Referenz auf das Erg&auml;nzungsobjekt in exakt jener Schreibweise, wie sie im Attribut <code>xsi:schemaLocation</code> angegeben wurde (<code>urn:XMLDocument.xsd</code>). Das Element <code>Content</code> beinhaltet das Erg&auml;nzungsobjekt so, wie es MOA SS verwenden soll (Elemente <code>Base64Content</code> oder <code>XMLContent</code>, vergleiche <a href="#webservice_xmlrequests_erstellungxml_simple"><span class="term">Einfaches Beispiel</span></a>), bzw. enth&auml;lt eine von MOA SS aufl&ouml;sbare Referenz auf das Erg&auml;nzungsobjekt (Element <code>LocRefContent</code>, vergleiche <a href="#webservice_xmlrequests_erstellungxml_simple"><span class="term">Einfaches Beispiel</span></a>). Im konkreten Beispiel wird <code>LocRefContent</code> verwendet. </p>
-<p>Beachten Sie bitte, dass die Verwendung von Erg&auml;nzungsobjekten f&uuml;r die Mitteilung von XML-Schemata nur dann funktioniert, wenn die Referenz auf das XML-Schema in der <code>xsi:schemaLocation</code> eine absolute URI ist (also z.B. wie hier <code>urn:XMLDocument.xsd</code> oder auch <code>http://example.org/XMLDocument.xsd</code>, nicht aber z.B. <code>XMLDocument.xsd</code> oder <code>../schemas/XMLDocument.xsd</code>).</p>
-<p>Auch f&uuml;r das Aufl&ouml;sen eines Verweises in einer DTD kann in analoger Weise von Erg&auml;nzungsobjekten Gebrauch gemacht werden. </p>
-<h5>Response</h5>
-<p><code><a href="../../clients/webservice/resources/requests/CreateXMLSignatureRequest.Supplements.resp.xml" target="_blank">CreateXMLSignatureRequest.Supplements.resp.xml</a></code> ist eine typische Response des SS Webservices auf den obigen Request. Er wird an dieser Stelle nicht n&auml;her analysiert, da er keine f&uuml;r das Thema des Beispiels relevanten Besonderheiten aufweist.</p>
-<h3><a name="webservice_xmlrequests_pruefungcms" id="webservice_xmlrequests_pruefungcms"></a>2.1.3 Pr&uuml;fung einer CMS bzw. CAdES-Signatur</h3>
-<h4><a name="webservice_xmlrequests_pruefungcms_einfach" id="webservice_xmlrequests_pruefungcms_einfach"></a>2.1.3.1 Einfaches Beispiel</h4>
-<h5>Request</h5>
-<p>Dieses Beispiel (<a href="../../clients/webservice/resources/requests/VerifyCMSSignatureRequest.Simple.xml" target="_blank"><code>VerifyCMSSignatureRequest.Simple.xml</code></a>) ist ein einfacher Request zur Pr&uuml;fung einer CMS-Signatur. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass der nachfolgende Ausschnitt aus dem Request aus Gr&uuml;nden der &Uuml;bersichtlichkeit gek&uuml;rzt wurde.</p>
-<pre>
-&lt;VerifyCMSSignatureRequest
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;&gt;
- &lt;CMSSignature&gt;MIIHsAYJKo...4sLL6kpOPJaLg==&lt;/CMSSignature&gt;
- &lt;TrustProfileID&gt;Test-Signaturdienste&lt;/TrustProfileID&gt;
-&lt;/VerifyCMSSignatureRequest&gt;
-</pre>
-<p>Der Request enth&auml;lt zun&auml;chst in <code>CMSSignature</code> die zu pr&uuml;fende CMS-Signatur, und zwar in base64 kodierter Form. In diesem Beispiel wird davon ausgegangen, dass es sich dabei um eine <span class="term">Enveloping</span> Signature handelt, d. h. dass die signierten Daten als Teil der CMS-Struktur vorhanden sind. F&uuml;r die Behandlung einer <span class="term">Detached</span> Signature sei auf das <a href="#webservice_xmlrequests_pruefungcms_detached">n&auml;chste Beispiel</a> verwiesen.</p>
-<p>Abschlie&szlig;end enth&auml;lt der Request in <code>TrustProfileID</code> die Angabe des Vertrauensprofils, gegen das die Vertrauenspr&uuml;fung des Zertifikats durchgef&uuml;hrt werden soll. Ein Vertrauensprofil mit dem angegebenen Namen muss in der f&uuml;r die Signaturpr&uuml;fung verwendeten Instanz von MOA SP eingerichtet sein. </p>
-<h5>Response</h5>
-<p><code><a href="../../clients/webservice/resources/requests/VerifyCMSSignatureRequest.Simple.resp.xml" target="_blank">VerifyCMSSignatureRequest.Simple.resp.xml</a></code> ist eine typische Response des SP Webservices auf den obigen Request. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass die dargestellte Response zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde.</p>
-<pre>
-&lt;VerifyCMSSignatureResponse
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;SignerInfo&gt;
- &lt;dsig:X509Data&gt;
- &lt;dsig:X509SubjectName&gt;serialNumber=615536615920,givenName=Gregor,SN=Karlinger,
-CN=Gregor Karlinger,C=AT&lt;/dsig:X509SubjectName&gt;
- &lt;dsig:X509IssuerSerial&gt;
- &lt;dsig:X509IssuerName&gt;CN=TrustSignTest-Sig-01,OU=TrustSignTest-Sig-01,
-O=A-Trust Ges. f&uuml;r Sicherheitssysteme im elektr. Datenverkehr GmbH,C=AT&lt;/dsig:X509IssuerName&gt;
- &lt;dsig:X509SerialNumber&gt;2892&lt;/dsig:X509SerialNumber&gt;
- &lt;/dsig:X509IssuerSerial&gt;
- &lt;dsig:X509Certificate&gt;...&lt;/dsig:X509Certificate&gt;
- &lt;QualifiedCertificate/&gt;
- &lt;/dsig:X509Data&gt;
- &lt;/SignerInfo&gt;
-</pre>
-<p>Die Response enth&auml;lt zun&auml;chst in <code>SignerInfo/dsig:X509Data</code> Informationen &uuml;ber den Signator, die aus dem in der CMS-Signatur enthaltenen Signatorzertifikat entnommen sind. </p>
-<p><code>dsig:X509SubjectName</code> ist immer vorhanden und enth&auml;lt den Namen des Signators. <code>dsig:X509IssuerSerial</code> ist ebenfalls immer vorhanden und enth&auml;lt den Namen des Austellers des Signatorzertifikats (<code>dsig:X509IssuerName</code>) sowie die Seriennummer des Zertifikats (<code>dsig:X509SerialNumber</code>). Auch <code>dsig:X509Certificate</code> ist immer vorhanden und enth&auml;lt das Signatorzertifikat in base64 kodierter Form. </p>
-<p>Optional vorhanden ist das inhaltslose Element <code>QualifiedCertificate</code>, und zwar dann, wenn es sich beim Signatorzertifikat um ein qualifiziertes Zertifikat handelt. Ebenfalls optional vorhanden ist schlie&szlig;lich - in diesem Beispiel nicht ersichtlich - das Element <code>PublicAuthority</code>, und zwar dann, wenn das Signatorzertifikat die &ouml;sterreichspezifische Zertifikatserweiterung <a href="http://www.digitales.oesterreich.gv.at/site/cob__28513/5580/default.aspx" target="_blank">Verwaltungseigenschaft</a> aufweist. Ist in dieser Zertifikatserweiterung das Verwaltungskennzeichen mitkodiert, wird dieses Kennzeichen als Textinhalt des optionalen Elements <code>PublicAuthority/Code</code> geliefert.</p>
-<pre>
- &lt;SignatureCheck&gt;
- &lt;Code&gt;0&lt;/Code&gt;
- &lt;/SignatureCheck&gt;
-</pre>
-<p> Anschlie&szlig;end an <code>SignerInfo</code> enth&auml;lt die Response mit <code>SignatureCheck/Code</code> das Resultat der kryptographischen Pr&uuml;fung der Signatur. In unserem Beispiel ist dort der Wert <code>0</code> enthalten, d. h. die Signatur konnte erfolgreich validiert werden. F&uuml;r eine &Uuml;bersicht der m&ouml;glichen Kodes siehe <a href="#sl"> Security-Layer Spezifikation</a>.</p>
-<pre>
- &lt;CertificateCheck&gt;
- &lt;Code&gt;1&lt;/Code&gt;
- &lt;/CertificateCheck&gt;
-</pre>
-<p>Abschlie&szlig;end enth&auml;lt die Response mit <code>CertificateCheck/Code</code> das Resultat der Pr&uuml;fung des Signatorzertifikats. Zun&auml;chst pr&uuml;ft MOA SP, ob ausgehend vom Signatorzertifikat eine Zertifikatskette zu einem im zugeh&ouml;rigen Vertrauensprofil konfigurierten sog. <span class="term">Trust Anchor</span> gebildet werden kann. Gelingt dies, wird die G&uuml;ltigkeit jedes Zertifikats dieser Kette &uuml;berpr&uuml;ft. In unserem Beispiel enth&auml;lt <code>Code</code> den Wert <code>1</code>, d. h. MOA SP konnte die oben erl&auml;uterte Zertifikatskette nicht bilden. F&uuml;r eine &Uuml;bersicht der m&ouml;glichen Kodes siehe <a href="#sl"> Security-Layer Spezifikation</a>.</p>
-<h4><a name="webservice_xmlrequests_pruefungcms_erweitert" id="webservice_xmlrequests_pruefungcms_erweitert"></a>2.1.3.2 Erweitertes Beispiel</h4>
-<h5>Request</h5>
-<p>Dieses erweiterte Beispiel zur Pr&uuml;fung einer CMS-Signatur (<a href="../../clients/webservice/resources/requests/VerifyCMSSignatureRequest.Extended.xml" target="_blank"><code>VerifyCMSSignatureRequest.Extended.xml</code></a>) demonstriert die Pr&uuml;fung mehrerer Signatoren einer CMS-Signatur, die Angabe des Pr&uuml;fzeitpunkts sowie die Pr&uuml;fung einer <span class="term">Detached Signature</span>, d. h. einer Signatur, in der die signierten Daten nicht enthalten sind und daher extra angegeben werden m&uuml;ssen. </p>
-<pre>
-&lt;VerifyCMSSignatureRequest
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- Signatories=&quot;1&quot;&gt;
- &lt;DateTime&gt;2004-08-17T08:00:00+02:00&lt;/DateTime&gt;
- &lt;CMSSignature&gt;MIIHiwYJKoZI...kfiwsvqSk48lou&lt;/CMSSignature&gt;
- &lt;DataObject&gt;
- &lt;Content&gt;
- &lt;Base64Content&gt;RGllc2UgRGF0ZW4gd2FyZW4gYmFzZTY0IGtvZGllcnQu&lt;/Base64Content&gt;
- &lt;/Content&gt;
- &lt;/DataObject&gt;
- &lt;TrustProfileID&gt;Test-Signaturdienste&lt;/TrustProfileID&gt;
-&lt;/VerifyCMSSignatureRequest&gt;
-</pre>
-<p> Liegt eine zu pr&uuml;fende CMS-Signatur vor, die von mehreren Unterzeichnenden signiert worden ist, kann das Attribut <code>VerifyCMSSignatureRequest/@Signatories</code> verwendet werden, um jene Unterzeichnenden auszuw&auml;hlen, deren Unterschriften von MOA SP gepr&uuml;ft werden sollen. Der Default-Wert f&uuml;r dieses optionale Attribut ist <code>1</code>. Soll nicht die Unterschrift allein des ersten Unterzeichnenden gepr&uuml;ft werden, muss das Attribut explizit angegeben werden. Es enth&auml;lt dann eine oder mehrere Ganzzahlwerte, getrennt durch Leerzeichen. Jede Ganzzahl bezeichnet einen Unterzeichnenden, wobei die Reihenfolge der Auflistung der Unterzeichner in der CMS-Signatur entspricht. Der Wert <code>&quot;1 3&quot;</code> w&uuml;rde beispielsweise aussagen, dass MOA SP die Unterschrift des ersten sowie des dritten Unterzeichnenden pr&uuml;fen soll.</p>
-<p>Mit dem optionalen Element <code>DateTime</code> kann der Zeitpunkt der Signaturpr&uuml;fung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp <a href="http://www.w3.org/TR/2001/REC-xmlschema-2-20010502/#dateTime" target="_blank"><span class="term">dateTime</span></a>. Enth&auml;lt der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP l&auml;uft. Wird <code>DateTime</code> nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#ref-etsicms" target="_blank" class="term">SigningTime</a>). Enth&auml;lt die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es l&auml;uft. </p>
-<p>Das optionale Element <code>DataObject</code> muss dann angegeben werden, wenn eine <span class="term">Detached Signature</span> gepr&uuml;ft werden soll, d. h. wenn in der CMS-Signatur die signierten Daten nicht mitkodiert sind. In <code>DataObject/Content/Base64Content</code> sind in einem solchen Fall diese Daten in base64 kodierter Form bereit zu stellen.</p>
-<h5>Response</h5>
-<p><code><a href="../../clients/webservice/resources/requests/VerifyCMSSignatureRequest.Extended.resp.xml" target="_blank">VerifyCMSSignatureRequest.Extended.resp.xml</a></code> ist eine typische Response des SP Webservices auf den obigen Request. Er wird an dieser Stelle nicht n&auml;her analysiert, da er keine f&uuml;r das Thema des Beispiels relevanten Besonderheiten aufweist.</p>
-<h3><a name="webservice_xmlrequests_pruefungxml"></a>2.1.4 Pr&uuml;fen einer XML-Signatur</h3>
-<h4><a name="webservice_xmlrequests_pruefungxml_einfach"></a>2.1.4.1 Einfaches Beispiel</h4>
-<h5>Request</h5>
-<p><code><a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.Simple.xml" target="_blank">VerifyXMLSignatureRequest.Simple.xml</a></code> ist ein einfacher XML-Request zur Pr&uuml;fung einer XML-Signatur. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass der dargestellte Request zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde.</p>
-<pre>
-&lt;VerifyXMLSignatureRequest xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;&gt;
- &lt;VerifySignatureInfo&gt;
- &lt;VerifySignatureEnvironment&gt;
- &lt;XMLContent&gt;
- &lt;dsig:Signature Id=&quot;signature-1-1&quot; xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;dsig:SignedInfo&gt;
- &lt;dsig:CanonicalizationMethod Algorithm=&quot;http://www.w3.org/TR/2001/REC-xml-c14n-20010315&quot;/&gt;
- &lt;dsig:SignatureMethod
- Algorithm=&quot;http://www.w3.org/2001/04/xmldsig-more#ecdsa-sha1&quot;/&gt;
- &lt;dsig:Reference Id=&quot;reference-1-1&quot; URI=&quot;#xpointer(id(&apos;signed-data-1-1-1&apos;)/node())&quot;&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;tLODyeiWFbAkQKwhrR23jtcgu4k=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
- &lt;/dsig:SignedInfo&gt;
- &lt;dsig:SignatureValue&gt;...&lt;/dsig:SignatureValue&gt;
- &lt;dsig:KeyInfo&gt;...&lt;/dsig:KeyInfo&gt;
- &lt;dsig:Object Id=&quot;signed-data-1-1-1&quot;&gt;Diese Daten werden signiert.&lt;/dsig:Object&gt;
- &lt;/dsig:Signature&gt;
- &lt;/XMLContent&gt;
- &lt;/VerifySignatureEnvironment&gt;
-</pre>
-<p>Das Element <code>VerifySignatureEnvironment</code> enth&auml;lt jenes XML-Dokument, das die zu pr&uuml;fende XML-Signatur enth&auml;lt. Auch hier stehen eine Reihe von M&ouml;glichkeiten zur Verf&uuml;gung, dieses XML-Dokument anzugeben. Im Beispiel wurde das Element <code>XMLContent</code> verwendet; alternativ stehen die Elemente <code>Base64Content</code> und <code>LocRefContent</code> bzw. gleichwertig zu <code>LocRefContent</code> das Attribut <code>Reference</code> zur Verf&uuml;gung.</p>
-<p>Im konkreten Beispiel enth&auml;lt das angegebene XML-Dokument direkt als Root-Element die zu pr&uuml;fende Signatur (<code>dsig:Signature</code>). Es handelt sich dabei um eine <span class="term">Enveloping Signature</span>, d. h. die signierten Daten sind in einem <code>dsig:Object</code> als Teil der XML-Struktur der Signatur kodiert. Tats&auml;chlich signiert ist hier die Zeichenkette <code>Diese Daten werden signiert.</code></p>
-<pre>
- &lt;VerifySignatureLocation
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;/dsig:Signature&lt;/VerifySignatureLocation&gt;
- &lt;/VerifySignatureInfo&gt;
-</pre>
-<p>Das Element <code>VerifySignatureLocation</code> enth&auml;lt als Text den XPath-Ausdruck zur Selektion der XML-Signatur innerhalb des zu pr&uuml;fenden XML-Dokuments. Die Auswertung des XPath-Ausdrucks muss genau ein Element <code>dsig:Signature</code> ergeben. Bitte beachten Sie, dass im Kontext des Elements <code>VerifySignatureLocation</code> alle im XPath-Ausdruck verwendeten Namespace-Pr&auml;fixe bekannt sein m&uuml;ssen (hier das Pr&auml;fix <code>dsig</code>). </p>
-<pre>
- &lt;TrustProfileID&gt;Test-Signaturdienste&lt;/TrustProfileID&gt;
-&lt;/VerifyXMLSignatureRequest&gt;
-</pre>
-<p>Das Element <code>TrustProfileID</code> schlie&szlig;lich enth&auml;lt den Bezeichner des Vertrauensprofils, gegen das die Zertifikatspr&uuml;fung von MOA SP durchgef&uuml;hrt wird. Ein Vertrauensprofil enth&auml;lt die Zertifikate jene Zertifizierungsdiensteanbieter, denen als Aussteller von Signatorzertifikaten vertraut wird. Ein Vertrauensprofil mit dem gew&auml;hlten Namen (hier <code>Test-Signaturdienste</code>) muss in der Konfiguration von MOA SP hinterlegt sein. </p>
-<h5>Response</h5>
-<p><code><a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.Simple.resp.xml" target="_blank">VerifyXMLSignatureRequest.Simple.resp.xml</a></code> ist eine typische Response des SP Webservices auf den obigen Request. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass die dargestellte Response zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde.</p>
-<pre>
-&lt;VerifyXMLSignatureResponse
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;SignerInfo&gt;
- &lt;dsig:X509Data&gt;
- &lt;dsig:X509SubjectName&gt;CN=Test: Signaturdienst aller Kunden: ECDSA (P192v1),OU=Technik und Standards,
- O=Stabsstelle IKT-Strategie des Bundes,C=AT&lt;/dsig:X509SubjectName&gt;
- &lt;dsig:X509IssuerSerial&gt;
- &lt;dsig:X509IssuerName&gt;CN=Test CA - Signaturdienste,OU=Technik und Standards,
- O=Stabstelle IKT-Strategie des Bundes,C=AT&lt;/dsig:X509IssuerName&gt;
- &lt;dsig:X509SerialNumber&gt;9&lt;/dsig:X509SerialNumber&gt;
- &lt;/dsig:X509IssuerSerial&gt;
- &lt;dsig:X509Certificate&gt;...&lt;/dsig:X509Certificate&gt;
- &lt;PublicAuthority&gt;
- &lt;Code&gt;BKA-IKT&lt;/Code&gt;
- &lt;/PublicAuthority&gt;
- &lt;/dsig:X509Data&gt;
- &lt;/SignerInfo&gt;
-</pre>
-<p>Die Response enth&auml;lt zun&auml;chst in <code>SignerInfo/dsig:X509Data</code> Informationen &uuml;ber den Signator, die aus dem in der XML-Signatur enthaltenen Signatorzertifikat entnommen sind. </p>
-<p><code>dsig:X509SubjectName</code> ist immer vorhanden und enth&auml;lt den Namen des Signators. <code>dsig:X509IssuerSerial</code> ist ebenfalls immer vorhanden und enth&auml;lt den Namen des Austellers des Signatorzertifikats (<code>dsig:X509IssuerName</code>) sowie die Seriennummer des Zertifikats (<code>dsig:X509SerialNumber</code>). Auch <code>dsig:X509Certificate</code> ist ist immer vorhanden und enth&auml;lt das Signatorzertifikat in base64 kodierter Form. </p>
-<p>Optional vorhanden - in diesem Beispiel nicht ersichtlich - ist das inhaltslose Element <code>QualifiedCertificate</code>, und zwar dann, wenn es sich beim Signatorzertifikat um ein qualifiziertes Zertifikat handelt. Ebenfalls optional vorhanden ist schlie&szlig;lich das Element <code>PublicAuthority</code>, und zwar dann, wenn das Signatorzertifikat die &ouml;sterreichspezifische Zertifikatserweiterung <a href="http://www.digitales.oesterreich.gv.at/site/cob__28513/5580/default.aspx" target="_blank">Verwaltungseigenschaft</a> aufweist. Ist in dieser Zertifikatserweiterung das Verwaltungskennzeichen mitkodiert, wird dieses Kennzeichen als Textinhalt des optionalen Elements <code>PublicAuthority/Code</code> geliefert.</p>
-<pre>
- &lt;SignatureCheck&gt;
- &lt;Code&gt;0&lt;/Code&gt;
- &lt;/SignatureCheck&gt;
-</pre>
-<p> Anschlie&szlig;end an <code>SignerInfo</code> enth&auml;lt die Response mit <code>SignatureCheck/Code</code> das Resultat der kryptographischen Pr&uuml;fung der Signatur. In unserem Beispiel ist dort der Wert <code>0</code> enthalten, d. h. die Signatur konnte erfolgreich validiert werden. F&uuml;r eine &Uuml;bersicht der m&ouml;glichen Kodes siehe <a href="#sl"> Security-Layer Spezifikation</a>.</p>
-<pre>
- &lt;CertificateCheck&gt;
- &lt;Code&gt;0&lt;/Code&gt;
- &lt;/CertificateCheck&gt;
-</pre>
-<p>Abschlie&szlig;end enth&auml;lt die Response mit <code>CertificateCheck/Code</code> das Resultat der Pr&uuml;fung des Signatorzertifikats. Zun&auml;chst pr&uuml;ft MOA SP, ob ausgehend vom Signatorzertifikat eine Zertifikatskette zu einem im zugeh&ouml;rigen Vertrauensprofil konfigurierten sog. <span class="term">Trust Anchor</span> gebildet werden kann. Gelingt dies, wird die G&uuml;ltigkeit jedes Zertifikats dieser Kette &uuml;berpr&uuml;ft. In unserem Beispiel enth&auml;lt <code>Code</code> den Wert <code>0</code>, d. h. MOA SP konnte die Kette bilden, und alle Zertifikate der Kette sind g&uuml;ltig. F&uuml;r eine &Uuml;bersicht der m&ouml;glichen Kodes siehe <a href="#sl"> Security-Layer Spezifikation</a>.</p>
-<h4><a name="webservice_xmlrequests_pruefungxml_erweitert"></a>2.1.4.2 Erweitertes Beispiel </h4>
-<h5>Request</h5>
-<p>Dieses erweiterte Beispiel zur Pr&uuml;fung einer XML-Signatur (<a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.Enveloped.xml" target="_blank"><code>VerifyXMLSignatureRequest.Enveloped.xml</code></a>) demonstriert die Pr&uuml;fung einer <span class="term">Enveloped Signature</span>, d. h. einer Signatur, die in ein XML-Dokument integriert ist, die Angabe des Pr&uuml;fzeitpunkts sowie die Anweisung an MOA SP, in der Response die von der Signatur abgedeckten Daten zu retournieren.</p>
-<pre>
-&lt;VerifyXMLSignatureRequest xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;&gt;
- &lt;DateTime&gt;2004-08-18T17:00:00+02:00&lt;/DateTime&gt;
-</pre>
-<p>Mit dem optionalen Element <code>DateTime</code> kann der Zeitpunkt der Signaturpr&uuml;fung explizit vorgegeben werden. Inhalt dieses Elements ist die Angabe von Datum und Uhrzeit entsprechend dem XML-Schema Datentyp <a href="http://www.w3.org/TR/2001/REC-xmlschema-2-20010502/#dateTime" target="_blank"><span class="term">dateTime</span></a>. Enth&auml;lt der angegebene Zeitpunkt keinen Zeitzonen-Offset zur UTC, wird der Zeitpunkt als lokale Zeit des Servers interpretiert, auf dem MOA SP l&auml;uft. Wird <code>DateTime</code> nicht angegeben, versucht MOA SP, den Zeitpunkt der Signaturerstellung aus der Signatur zu ermitteln (anhand des Signaturattributs <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#ref-etsicms" target="_blank" class="term">SigningTime</a>). Enth&auml;lt die Signatur keinen Zeitpunkt der Signaturerstellung, verwendet MOA SP die aktuelle Systemzeit des Servers, auf dem es l&auml;uft.</p>
-<pre>
- &lt;VerifySignatureInfo&gt;
- &lt;VerifySignatureEnvironment Reference=&quot;http://localhost:8080/referencedData/XMLDocument.signed.xml&quot;/&gt;
- &lt;VerifySignatureLocation xmlns:doc=&quot;urn:document&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;/doc:XMLDocument/dsig:Signature&lt;/VerifySignatureLocation&gt;
- &lt;/VerifySignatureInfo&gt;
-</pre>
-<p>Das Element <code>VerifySignatureEnvironment</code> enth&auml;lt in diesem Fall mit dem Attribut <code>Reference</code> eine Referenz auf das XML-Dokument (<code><a href="../../clients/referencedData/src/main/webapp/XMLDocument.signed.xml" target="_blank">XMLDocument.signed.xml</a></code>), das die zu pr&uuml;fende Signatur beinhaltet. Als Textinhalt von <code>VerifySignatureLocation</code> ist ein XPath-Ausdruck angegeben, der die zu pr&uuml;fende Signatur innerhalb des XML-Dokuments ausw&auml;hlt. Bitte beachten Sie, dass im Kontext des Elements <code>VerifySignatureLocation</code> alle im XPath-Ausdruck verwendeten Namespace-Pr&auml;fixe bekannt sein m&uuml;ssen (hier die Pr&auml;fixe <code>doc</code> und <code>dsig</code>). </p>
-<pre>
- &lt;ReturnHashInputData/&gt;
- &lt;TrustProfileID&gt;Test-Signaturdienste&lt;/TrustProfileID&gt;
-&lt;/VerifyXMLSignatureRequest&gt;
-</pre>
-<p>Durch Angabe des optionalen, leeren Elements <code>ReturnHashInputData</code> wird MOA SP angewiesen, im Response jene Daten zur&uuml;ckzuliefern, die von der Signatur abgedeckt sind, d. h. tats&auml;chlich signiert wurden (siehe unten). Diese Information ist f&uuml;r die MOA SP verwendende Anwendung essentiell, da sie wissen muss, ob tats&auml;chlich die von ihr geforderten Daten signiert wurden. Wird <code>HashInputData</code> im Request nicht angegeben, muss die Anwendung selbst die Signatur analysieren, um diese Information zu erhalten. </p>
-<h5>Response</h5>
-<p><code><a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.Enveloped.resp.xml" target="_blank">VerifyXMLSignatureRequest.Enveloped.resp.xml</a></code> ist eine typische Response des SP Webservices auf den obigen Request. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass die dargestellte Response zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde.</p>
-<pre>
-&lt;VerifyXMLSignatureResponse
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;SignerInfo&gt;
- &lt;dsig:X509Data&gt;...&lt;/dsig:X509Data&gt;
- &lt;/SignerInfo&gt;
-</pre>
-<p>Die Response enth&auml;lt zun&auml;chst in <code>SignerInfo/dsig:X509Data</code> Informationen &uuml;ber den Signator, die aus dem in der XML-Signatur enthaltenen Signatorzertifikat entnommen sind (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>).</p>
-<pre>
- &lt;HashInputData PartOf=&quot;SignedInfo&quot;&gt;
- &lt;Base64Content&gt;PGRvYzp...hNTERvY3VtZW50Pg==&lt;/Base64Content&gt;
- &lt;/HashInputData&gt;
-</pre>
-<p>Wurde im Request - so wie in diesem Beispiel - das Element <code>ReturnHashInputData</code> angegeben, enth&auml;lt
- die Response nach <code>SignerInfo</code> f&uuml;r jede <code>dsig:Reference</code> in <code>dsig:SignedInfo</code> der
- XML-Signatur (bzw. auch f&uuml;r jede <code>dsig:Reference</code> aus einem <code>dsig:Manifest</code>, auf
- das mittels des Attributs <code>Type=&quot;http://www.w3.org/2000/09/xmldsig#Manifest&quot;</code> in einer <code>dsig:Reference</code> aus <code>dsig:SignedInfo</code> verwiesen
- wird; solche Manifeste kommen aber in diesem Beispiel nicht vor) ein Element <code>HashInputData</code>.</p>
-<p>Die Reihenfolge der <code>HashInputData</code>-Elemente
- entspricht der Reihenfolge der <code>dsig:Reference</code>-Elemente in <code>dsig:SignedInfo</code> der
- XML-Signatur (enth&auml;lt die XML-Signatur auch <code>dsig:Manifest</code>-Elemente, auf die jeweils in einer <code>dsig:Reference</code> aus <code>dsig:SignedInfo</code> verwiesen wird, werden zuerst <code>HashInputData</code>-Elemente f&uuml;r alle <code>dsig:Reference</code>-Elemente
- aus <code>dsig:SignedInfo</code> und anschlie&szlig;end <code>HashInputData</code>-Elemente f&uuml;r alle <code>dsig:Reference</code>-Elemente
- aus den einzelnen <code>dsig:Manifest</code>-Elementen geliefert). </p>
-<p>Das Attribut PartOf weist mit dem Wert SignedInfo darauf hin, dass die <code>dsig:Reference</code>,
-f&uuml;r welche die Hasheingangsdaten gelten, Teil von <code>dsig:SignedInfo</code> ist (f&uuml;r eine <code>dsig:Reference</code> aus
-einem <code>dsig:SignedInfo</code> w&uuml;rde der gelieferte Wert <code>XMLDSIGManifest</code> lauten; weiters
-w&uuml;rde<code> HashInputData</code> in einem solchen Fall ein weiteres Attribut
-
-
-<code>ReferringSigReference</code> aufweisen, dessen Wert die Nummer jener <code>dsig:Reference</code> aus <code>dsig:SignedInfo </code>als
-positive Ganzzahl repr&auml;sentiert, die auf das beinhaltende <code>dsig:Manifest</code> verweist.). </p>
-<p>Der Inhalt wird dabei stets mittels <code>Base64Content</code> in
- base64-kodierter Form geliefert.</p>
-<pre>
- &lt;SignatureCheck&gt;
- &lt;Code&gt;0&lt;/Code&gt;
- &lt;/SignatureCheck&gt;
- &lt;CertificateCheck&gt;
- &lt;Code&gt;0&lt;/Code&gt;
- &lt;/CertificateCheck&gt;
-&lt;/VerifyXMLSignatureResponse&gt;
-</pre>
-<p>Die Elemente <code>SignatureCheck</code> und <code>CertificateCheck</code> enthalten die Resultate der kryptographischen Pr&uuml;fung der Signatur sowie der Zertifikatspr&uuml;fung (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>).</p>
-<h4><a name="webservice_xmlrequests_pruefungxml_xmldsigmanifest"></a>2.1.4.3 Pr&uuml;fung eines XMLDSIG-Manifests </h4>
-<h5>Request</h5>
-<p>Dieses Beispiel zur Pr&uuml;fung einer XML-Signatur (<a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.XMLDSigManifest.xml" target="_blank"><code>VerifyXMLSignatureRequest.XMLDSigManifest.xml</code></a>) demonstriert die Pr&uuml;fung eines in der XML-Signatur vorhandenden <a href="http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/#sec-Manifest" target="_blank">Manifests nach XMLDSig</a>. Bitte beachten Sie, dass der dargestellte Request zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde.</p>
-<pre>
-&lt;VerifyXMLSignatureRequest
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;VerifySignatureInfo&gt;
- &lt;VerifySignatureEnvironment&gt;
- &lt;XMLContent&gt;
- &lt;dsig:Signature xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot; Id=&quot;signature-1-1&quot;&gt;
- &lt;dsig:SignedInfo&gt;
- &lt;dsig:CanonicalizationMethod Algorithm=&quot;http://www.w3.org/TR/2001/REC-xml-c14n-20010315&quot;/&gt;
- &lt;dsig:SignatureMethod
- Algorithm=&quot;http://www.w3.org/2001/04/xmldsig-more#ecdsa-sha1&quot;/&gt;
- &lt;dsig:Reference Type=&quot;http://www.w3.org/2000/09/xmldsig#Manifest&quot; URI=&quot;#dsig-manifest-1-1&quot;&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;nUUaW6OtcsNvV/QhqmkU2QXT1Mw=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
- &lt;/dsig:SignedInfo&gt;
- &lt;dsig:SignatureValue&gt;315gCwZI...OXFwr+&lt;/dsig:SignatureValue&gt;
- &lt;dsig:KeyInfo&gt;...&lt;/dsig:KeyInfo&gt;
- &lt;dsig:Object Id=&quot;signed-data-1-1-1&quot;&gt;Diese Daten sind signiert.&lt;/dsig:Object&gt;
- &lt;dsig:Object&gt;
- &lt;dsig:Manifest Id=&quot;dsig-manifest-1-1&quot;&gt;
- &lt;dsig:Reference Id=&quot;reference-1-1&quot; URI=&quot;#xpointer(id(&apos;signed-data-1-1-1&apos;)/node())&quot;&gt;
- &lt;dsig:DigestMethod Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#sha1&quot;/&gt;
- &lt;dsig:DigestValue&gt;EYxznGxNRAIcHQeUsj+zsK+uaHA=&lt;/dsig:DigestValue&gt;
- &lt;/dsig:Reference&gt;
- &lt;/dsig:Manifest&gt;
- &lt;/dsig:Object&gt;
- &lt;/dsig:Signature&gt;
- &lt;/XMLContent&gt;
- &lt;/VerifySignatureEnvironment&gt;
-</pre>
-<p>Das Element <code>VerifySignatureEnvironment</code> enth&auml;lt als <code>XMLContent</code> die zu pr&uuml;fende XML-Signatur. Man erkennt, dass sich die einzige <code>dsig:Reference</code> im <code>dsig:SignedInfo</code> der XML-Signatur auf ein Manifest nach XMLDSig bezieht (erkennbar am Attribut <code>Type</code>, das auf den Wert <code>http://www.w3.org/2000/09/xmldsig#Manifest</code> gesetzt ist). Im Response (siehe unten) werden wir deshalb ein eigenes Resultat f&uuml;r die Manifest-Pr&uuml;fung erhalten.</p>
-<p>Das Manifest selbst ist in einem <code>dsig:Object</code>, also innerhalb der XML-Struktur der XML-Signatur kodiert. Es enth&auml;lt eine <code>dsig:Reference</code>, welche sich auf die Zeichenkette <code>Diese Daten sind signiert.</code> bezieht.</p>
-<pre>
- &lt;VerifySignatureLocation&gt;//dsig:Signature&lt;/VerifySignatureLocation&gt;
- &lt;/VerifySignatureInfo&gt;
- &lt;TrustProfileID&gt;Test-Signaturdienste&lt;/TrustProfileID&gt;
-&lt;/VerifyXMLSignatureRequest&gt;
-</pre>
-<p>Das Element <code>VerifySignatureLocation</code> w&auml;hlt die zu pr&uuml;fende Signatur innerhalb des in <code>VerifySignatureEnvironment</code> angegebenen XML-Dokuments aus. Das Element <code>TrustProfileID</code> w&auml;hlt das Vertrauensprofil aus, gegen das die Zertifikatspr&uuml;fung durchgef&uuml;hrt werden soll. </p>
-<h5>Response</h5>
-<p><code><a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.XMLDSigManifest.resp.xml" target="_blank">VerifyXMLSignatureRequest.XMLDSigManifest.resp.xml</a></code> ist eine typische Response des SP Webservices auf den obigen Request. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass die dargestellte Response zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde.</p>
-<pre>
-&lt;VerifyXMLSignatureResponse
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;SignerInfo&gt;
- &lt;dsig:X509Data&gt;...&lt;/dsig:X509Data&gt;
- &lt;/SignerInfo&gt;
- &lt;SignatureCheck&gt;
- &lt;Code&gt;0&lt;/Code&gt;
- &lt;/SignatureCheck&gt;
-</pre>
-<p>Die Response enth&auml;lt zun&auml;chst in <code>SignerInfo/dsig:X509Data</code> Informationen &uuml;ber den Signator, die aus dem in der XML-Signatur enthaltenen Signatorzertifikat entnommen sind (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>). Das Element<code> SignatureCheck</code> enth&auml;lt das Resultat der kryptographischen Pr&uuml;fung der Signatur (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>).</p>
-<pre>
- &lt;XMLDSIGManifestCheck&gt;
- &lt;Code&gt;0&lt;/Code&gt;
- &lt;Info&gt;
- &lt;ReferringSigReference&gt;1&lt;/ReferringSigReference&gt;
- &lt;/Info&gt;
- &lt;/XMLDSIGManifestCheck&gt;
-</pre>
-<p>Neu ist in dieser Response das an <code>SignatureCheck</code> anschlie&szlig;ende Element <code>XMLDSIGManifestCheck</code>. Ein oder mehrere solche Elemente werden immer dann zur&uuml;ckgeliefert, wenn in <code>dsig:SignedInfo</code> der XML-Signatur <code>dsig:Reference</code> Elemente existieren, die sich auf ein Manifest nach XMLDSIG beziehen (siehe oben). Je solcher <code>dsig:Reference</code> enth&auml;lt die Antwort ein korrespondierendes Element <code>XMLDSIGManifestCheck</code>, im konkreten Beispiel als eines.</p>
-<p>Das Element <code>Code</code> gibt das Ergebnis der durchgef&uuml;hrten Pr&uuml;fung des XMLDSIG-Manifests an. In diesem Fall bedeutet <code>0</code>, dass die Pr&uuml;fung jeder <code>dsig:Reference </code>im <code>dsig:Manifest</code> (im konkreten Beispiel also genau einer <code>dsig:Reference</code>) erfolgreich durchgef&uuml;hrt werden konnte. F&uuml;r eine &Uuml;bersicht der m&ouml;glichen Kodes siehe <a href="#sl"> Security-Layer Spezifikation</a>.</p>
-<p>Das Element <code>Info/ReferringSigReference</code> enth&auml;lt als Textinhalt die Nummer jenes <code>dsig:Reference</code> Elements in <code>dsig:SignedInfo</code> der XML-Signatur, welches auf das untersuchte Manifest nach XMLDSIG verweist, wobei mit <code>1</code> zu z&auml;hlen begonnen wird.</p>
-<pre>
- &lt;CertificateCheck&gt;
- &lt;Code&gt;0&lt;/Code&gt;
- &lt;/CertificateCheck&gt;
-&lt;/VerifyXMLSignatureResponse&gt;
-</pre>
-<p>Das Element<code> CertificateCheck</code> enth&auml;lt das Resultat der Zertifikatspr&uuml;fung (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>).</p>
-<h4><a name="webservice_xmlrequests_pruefungxml_ergaenzungsobjekte"></a>2.1.4.4 Erg&auml;nzungsobjekte </h4>
-<p>Dieses Beispiel zur Pr&uuml;fung einer XML-Signatur (<a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.Supplements.xml" target="_blank"><code>VerifyXMLSignatureRequest.Supplements.xml</code></a>) demonstriert die Verwendung von Erg&auml;nzungsobjekten. Ein Erg&auml;nzungsobjekt betrifft entweder ein signiertes Datum (Zusammenhang mit einem <code>dsig:Reference</code> der XML-Signatur) oder jenes Dokument, in dem sich die zu pr&uuml;fende XML-Signatur befindet (Zusammenhang mit <code>VerifySignatureEnvironment</code>). Es muss dann angegeben werden, wenn auf ein signiertes Datum bzw. in einem signierten Datum bzw. in dem die XML-Signatur enthaltenden XML-Dokument auf weitere Daten per Referenz verwiesen wird, diese Referenz aber von MOA SP nicht aufgel&ouml;st werden kann. Das Erg&auml;nzungsobjekt enth&auml;lt dann genau diese Daten die nicht von MOA SS aufgel&ouml;st werden k&ouml;nnen.</p>
-<p>Bitte beachten Sie, dass der dargestellte Request zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde.</p>
-<pre>
-&lt;VerifyXMLSignatureRequest xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;&gt;
- &lt;VerifySignatureInfo&gt;
- &lt;VerifySignatureEnvironment&gt;
- &lt;XMLContent&gt;
- &lt;doc:XMLDocument ... xsi:schemaLocation=&quot;urn:document urn:XMLDocument.xsd&quot;&gt;
- &lt;doc:Paragraph&gt;Ich bin der erste Absatz in diesem Dokument.&lt;/doc:Paragraph&gt;
- &lt;doc:Paragraph ParaId=&quot;Para2&quot;&gt;Und ich bin der zweite Absatz in diesem Dokument.
-Ich habe weiters ein eigenens ID-Attribut bekommen.&lt;/doc:Paragraph&gt;
- &lt;dsig:Signature Id=&quot;signature-1-1&quot; xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;dsig:SignedInfo&gt;
- ...
- &lt;dsig:Reference Id=&quot;reference-1-1&quot; URI=&quot;#Para2&quot;&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/TR/1999/REC-xslt-19991116&quot;&gt;
- &lt;xsl:stylesheet version=&quot;1.0&quot; xmlns:xsl=&quot;http://www.w3.org/1999/XSL/Transform&quot;&gt;
- &lt;xsl:include href=&quot;XMLDocument.Para.xsl&quot;/&gt;
- &lt;/xsl:stylesheet&gt;
- &lt;/dsig:Transform&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2001/10/xml-exc-c14n#&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- ...
- &lt;/dsig:Reference&gt;
- &lt;/dsig:SignedInfo&gt;
- &lt;dsig:SignatureValue&gt;5rXIIkbP/djWmTgQEICy...0Sf8jvnz+d&lt;/dsig:SignatureValue&gt;
- &lt;dsig:KeyInfo&gt;...&lt;/dsig:KeyInfo&gt;
- &lt;/dsig:Signature&gt;
- &lt;/doc:XMLDocument&gt;
- &lt;/XMLContent&gt;
- &lt;/VerifySignatureEnvironment&gt;
-</pre>
-<p>Das Element <code>VerifySignatureEnvironment</code> enth&auml;lt das XML-Dokument mit der zu pr&uuml;fenden XML-Signatur. </p>
-<p>Man erkennt, dass das Attribut <code>dsig:Reference/@URI</code> das Element<code> doc:Paragraph</code> mit dem auf den Wert <code>Para2</code> gesetzten ID-Attribut <code>ParaId</code> referenziert. MOA kann jedoch den Umstand, dass es sich bei <code>doc:Paragraph/@ParaId</code> um ein ID-Attribut handelt, nur dann erkennen, wenn es das XML-Dokument validierend parst. Der dazu n&ouml;tige Verweis auf das passende XML-Schema ist zwar mit dem Attribut <code>xsi:schemaLocation</code> vorhanden, jedoch handelt es sich dabei mit <code>urn:XMLDocument.xsd</code> um eine nicht aufl&ouml;sbare Referenz. Deshalb wird im Request ein passendes Erg&auml;nzungsobjekt ben&ouml;tigt (siehe unten).</p>
-<p>Weiters erkennt man, dass <code>dsig:Reference</code> ein XSLT-Transformation enth&auml;lt. Im darin kodierten Stylesheet-Parameter (<code>dsig:Transform/xsl:stylesheet</code>) wird ein weiterer Stylesheet inkludiert (<code>XMLDocument.Para.xsl</code>). Diese Referenz ist aber wiederum f&uuml;r MOA SP nicht aufl&ouml;sbar. Auch hier wird also ein passendes Erg&auml;nzungsobjekt ben&ouml;tigt (siehe unten). </p>
-<pre>
- &lt;VerifySignatureLocation xmlns:doc=&quot;urn:document&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;/doc:XMLDocument/dsig:Signature&lt;/VerifySignatureLocation&gt;
- &lt;/VerifySignatureInfo&gt;
-</pre>
-<p>Das Element <code>VerifySignatureLocation</code> w&auml;hlt die zu pr&uuml;fende Signatur innerhalb des in <code>VerifySignatureEnvironment</code> angegebenen XML-Dokuments aus.</p>
-<pre>
- &lt;SupplementProfile&gt;
- &lt;Content Reference=&quot;XMLDocument.Para.xsl&quot;&gt;
- &lt;LocRefContent&gt;http://localhost:8080/referencedData/XMLDocument.Para.xsl&lt;/LocRefContent&gt;
- &lt;/Content&gt;
- &lt;/SupplementProfile&gt;
-</pre>
-<p>Das erste Element <code>SupplementProfile</code> enth&auml;lt nun das Erg&auml;nzungsobjekt f&uuml;r den oben beschriebenen inkludierten Stylesheet. <code>Content/@Reference</code> enth&auml;lt die Referenz genau so, wie sie oben im Attribut <code>xsl:stylesheet/@href</code> angegeben wurde. Im Inhalt von <code>Content</code> werden entweder explizit jene Daten angegeben, die von MOA statt des Aufl&ouml;sens der Referenz verwendet werden sollen (<code>Base64Content</code> oder<code> XMLContent</code>), oder aber es wird - wie im konkreten Beispiel - <code></code>mit <code>LocRefContent</code> eine aufl&ouml;sbare Referenz f&uuml;r diese Daten an MOA SP &uuml;bergeben. </p>
-<pre>
- &lt;SupplementProfile&gt;
- &lt;Content Reference=&quot;urn:XMLDocument.xsd&quot;&gt;
- &lt;XMLContent&gt;
- &lt;xs:schema targetNamespace=&quot;urn:document&quot; xmlns:xs=&quot;http://www.w3.org/2001/XMLSchema&quot;
- xmlns=&quot;urn:document&quot; elementFormDefault=&quot;qualified&quot; attributeFormDefault=&quot;unqualified&quot;&gt;
- ...
- &lt;/xs:schema&gt;
- &lt;/XMLContent&gt;
- &lt;/Content&gt;
- &lt;/SupplementProfile&gt;
- &lt;TrustProfileID&gt;Test-Signaturdienste&lt;/TrustProfileID&gt;
-&lt;/VerifyXMLSignatureRequest&gt;
-</pre>
-<p>Das zweite Element <code>SupplementProfile</code> enth&auml;lt analog das Erg&auml;nzungsobjekt f&uuml;r das oben beschriebene XML-Schema. <code>Content/@Reference</code> enth&auml;lt die Referenz genau so, wie sie oben im Attribut <code>xsi:schemaLocation</code> angegeben wurde. </p>
-<h5>Response</h5>
-<p><code><a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.Supplements.resp.xml" target="_blank">VerifyXMLSignatureRequest.Supplements.resp.xml</a></code> ist eine typische Response des SP Webservices auf den obigen Request. Er wird an dieser Stelle nicht n&auml;her analysiert, da er keine f&uuml;r das Thema des Beispiels relevanten Besonderheiten aufweist.</p>
-<h4><a name="webservice_xmlrequests_pruefungxml_signaturmanifest" id="webservice_xmlrequests_pruefungxml_signaturmanifest"></a>2.1.4.5 Signatur-Manifest des Security-Layers </h4>
-<h5>Request</h5>
-<p>Dieses Beispiel zur Pr&uuml;fung einer XML-Signatur (<a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.SigManifest.xml" target="_blank"><code>VerifyXMLSignatureRequest.SigManifest.xml</code></a>) demonstriert die &Uuml;berpr&uuml;fung des Zusammenhangs zwischen den <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#glossar_Referenz-Eingangsdaten" target="_blank">Referenz-Eingangsdaten</a> und den <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#glossar_Hash-Eingangsdaten" target="_blank">Hash-Eingangsdaten</a> f&uuml;r die <code>dsig:Reference</code>-Elemente einer XML-Signatur. Mit Hilfe dieser Pr&uuml;fung kann eine Anwendung feststellen, ob bei der Erstellung einer XML-Signatur jene Transformationen bzw. auch jene inkludierten Stylesheets (vgl. <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#signaturerstellungNachXMLDSIGAntwortImplTransParam" target="_blank">Implizite Transformationsparameter</a>) einer XSLT-Transformation angewendet wurden, welche die Anwendung vorgegeben hat. Bei erfolgreicher Pr&uuml;fung dieses Zusammenhangs kann die Anwendung die Referenz-Eingangsdaten einer <code>dsig:Reference</code> als gesichert ansehen, obwohl eigentlich die Hash-Eingangsdaten durch die Signatur gesichert sind. Dies ist jenen F&auml;llen sinnvoll, in denen die Anwendung grunds&auml;tzlich mit XML-Daten arbeitet, diese Daten jedoch f&uuml;r das Signieren durch eine Person in ein f&uuml;r diese Person verst&auml;ndliches Format wie z.B. HTML umgewandelt werden sollen.</p>
-<pre>
-&lt;VerifyXMLSignatureRequest
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;VerifySignatureInfo&gt;
- &lt;VerifySignatureEnvironment&gt;
- &lt;XMLContent&gt;
- &lt;doc:XMLDocument xmlns:doc=&quot;urn:document&quot; xmlns:xsi=&quot;http://www.w3.org/2001/XMLSchema-instance&quot;
- xsi:schemaLocation=&quot;urn:document http://localhost:8080/referencedData/XMLDocument.xsd&quot;&gt;
- &lt;doc:Paragraph&gt;Ich bin der erste Absatz in diesem Dokument.&lt;/doc:Paragraph&gt;
- &lt;doc:Paragraph ParaId=&quot;Para2&quot;&gt;Und ich bin der zweite Absatz in diesem Dokument.
-Ich habe weiters ein eigenens ID-Attribut bekommen.&lt;/doc:Paragraph&gt;
- &lt;dsig:Signature xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot; Id=&quot;signature-1-1&quot;&gt;
- &lt;dsig:SignedInfo&gt;
- ...
- &lt;dsig:Reference Id=&quot;reference-1-1&quot; URI=&quot;#Para2&quot;&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/TR/1999/REC-xslt-19991116&quot;&gt;
- &lt;xsl:stylesheet version=&quot;1.0&quot; xmlns:xsl=&quot;http://www.w3.org/1999/XSL/Transform&quot;&gt;
- &lt;xsl:include href=&quot;http://localhost:8080/referencedData/XMLDocument.Para.xsl&quot;/&gt;
- &lt;/xsl:stylesheet&gt;
- &lt;/dsig:Transform&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2001/10/xml-exc-c14n#&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- ...
- &lt;/dsig:Reference&gt;
- &lt;dsig:Reference
- Type=&quot;http://www.buergerkarte.at/specifications/Security-Layer/20020225#SignatureManifest&quot;
- URI=&quot;#manifest-1-1&quot;&gt;
- ...
- &lt;/dsig:Reference&gt;
- &lt;dsig:Reference Type=&quot;http://uri.etsi.org/01903/v1.1.1#SignedProperties&quot; ...&gt;...&lt;/dsig:Reference&gt;
- &lt;/dsig:SignedInfo&gt;
- &lt;dsig:SignatureValue&gt;jnXc/X+hUY...uBxo9q&lt;/dsig:SignatureValue&gt;
- &lt;dsig:KeyInfo&gt;...&lt;/dsig:KeyInfo&gt;
- &lt;dsig:Object&gt;
- &lt;dsig:Manifest Id=&quot;manifest-1-1&quot;&gt;
- &lt;dsig:Reference URI=&quot;http://localhost:8080/referencedData/XMLDocument.Para.xsl&quot;&gt;
- ...
- &lt;/dsig:Reference&gt;
- &lt;/dsig:Manifest&gt;
- &lt;/dsig:Object&gt;
- &lt;dsig:Object Id=&quot;etsi-signed-1-1&quot;&gt;
- &lt;etsi:QualifyingProperties Target=&quot;#signature-1-1&quot; xmlns:etsi=&quot;http://uri.etsi.org/01903/v1.1.1#&quot;&gt;
- ...
- &lt;/etsi:QualifyingProperties&gt;
- &lt;/dsig:Object&gt;
- &lt;/dsig:Signature&gt;
- &lt;/doc:XMLDocument&gt;
- &lt;/XMLContent&gt;
- &lt;/VerifySignatureEnvironment&gt;
-</pre>
-<p>Das Element <code>VerifySignatureEnvironment</code> enth&auml;lt das XML-Dokument mit der zu pr&uuml;fenden XML-Signatur. Die XML-Signatur wurde von einer B&uuml;rgerkarten-Umgebung erstellt. Man erkennt, dass das Element <code>dsig:SignedInfo</code> der XML-Signatur drei <code>dsig:Reference</code>-Elemente enth&auml;lt. </p>
-<p>Die erste <code>dsig:Reference</code> bezieht sich auf die eigentlich signierten Nutzdaten. Das zweite <code>doc:Paragraph</code>-Element stellt die Referenz-Eingangsdaten f&uuml;r diese <code>dsig:Reference</code> dar, welche mit Hilfe einer XSLT-Transformation in ein kleines HTML-Dokument &uuml;bergef&uuml;hrt wird, wor&uuml;ber dann der Hashwert der dsig:Reference gebildet wird (Hash-Eingangsdaten).</p>
-<p>Die zweite <code>dsig:Reference</code> bezieht sich auf das von der B&uuml;rgerkarten-Umgebung angefertigte Signaturmanifest. Das Signaturmanifest ist vorhanden, weil die XSLT-Transformation der ersten <code>dsig:Reference</code> einen weiteren Stylesheet inkludiert, und die Daten dieses weiteren Stylesheets ansonsten nicht von der XML-Signatur abgedeckt w&auml;ren (vgl. <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20040514/core/Core.html#signaturerstellungNachXMLDSIGAntwortImplTransParam" target="_blank">Implizite Transformationsparameter</a>). Das Signaturmanifest enth&auml;lt eine einzige <code>dsig:Reference</code>, die den inkludierten Stylesheet referenziert und so in die XML-Signatur einbindet.</p>
-<p>Die dritte <code>dsig:Reference</code> bezieht sich auf die von der B&uuml;rgerkarten-Umgebung angefertigten Signatureigenschaften, die hier nicht n&auml;her betrachtet werden. </p>
-<pre>
- &lt;VerifySignatureLocation xmlns:doc=&quot;urn:document&quot;&gt;/doc:XMLDocument/dsig:Signature&lt;/VerifySignatureLocation&gt;
- &lt;/VerifySignatureInfo&gt;
-</pre>
-<p>Das Element <code>VerifySignatureLocation</code> w&auml;hlt die zu pr&uuml;fende Signatur innerhalb des in <code>VerifySignatureEnvironment</code> angegebenen XML-Dokuments aus.</p>
-<pre>
- &lt;SignatureManifestCheckParams ReturnReferenceInputData=&quot;true&quot;&gt;
- &lt;ReferenceInfo&gt;
- &lt;VerifyTransformsInfoProfile&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/TR/1999/REC-xslt-19991116&quot;&gt;
- &lt;xsl:stylesheet version=&quot;1.0&quot; xmlns:xsl=&quot;http://www.w3.org/1999/XSL/Transform&quot;&gt;
- &lt;xsl:include href=&quot;http://localhost:8080/referencedData/XMLDocument.Para.xsl&quot;/&gt;
- &lt;/xsl:stylesheet&gt;
- &lt;/dsig:Transform&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2001/10/xml-exc-c14n#&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- &lt;TransformParameter URI=&quot;http://localhost:8080/referencedData/XMLDocument.Para.xsl&quot;/&gt;
- &lt;/VerifyTransformsInfoProfile&gt;
- &lt;VerifyTransformsInfoProfile&gt;
- &lt;dsig:Transforms&gt;
- &lt;dsig:Transform Algorithm=&quot;http://www.w3.org/2000/09/xmldsig#enveloped-signature&quot;/&gt;
- &lt;/dsig:Transforms&gt;
- &lt;/VerifyTransformsInfoProfile&gt;
- &lt;/ReferenceInfo&gt;
- &lt;/SignatureManifestCheckParams&gt;
- &lt;TrustProfileID&gt;Test-Signaturdienste&lt;/TrustProfileID&gt;
-&lt;/VerifyXMLSignatureRequest&gt;
-</pre>
-<p>Mit Angabe des optionalen Elements <code>SignatureManifestCheckParams</code> wird MOA SP angewiesen, den oben skizzierten Zusammenhang zwischen Referenz-Eingangsdaten und Hash-Eingangsdaten zu &uuml;berpr&uuml;fen. Wird das Attribut <code>ReturnReferenceInputData</code> wie im Beispiel auf den Wert <code>true</code> gesetzt, liefert MOA SP in der Response die Hash-Eingangsdaten f&uuml;r alle Referenzen in <code>dsig:SignedInfo</code> der XML-Signatur an die Anwendung zur&uuml;ck, was in der Regel von der Anwendung wohl gew&uuml;nscht wird, wenn MOA SP schon den Zusammenhang zwischen Referenz-Eingangsdaten und Hash-Eingangsdaten pr&uuml;fen soll.</p>
-<p>Die Pr&uuml;fung des Zusammenhangs untergliedert sich in zwei Teilpr&uuml;fungen:</p>
-<ul>
- <li>&Uuml;berpr&uuml;fung, ob jede <code>dsig:Reference</code> in <code>dsig:SignedInfo</code> der Signatur eine vorgegebene Transformationskette inkludiert;</li>
- <li>&Uuml;berpr&uuml;fung, ob die in der vorgegebenen Transformationskette ggf. enthaltenen inkludierten Stylesheets (implizite Transformationsparameter) durch ein Signaturmanifest mitsigniert sind.</li>
-</ul>
-<p>Damit MOA SP die erste Teilpr&uuml;fung durchf&uuml;hren kann, muss in <code>SignatureManifestCheckParams</code> je <code>dsig:Reference</code> Element in <code>dsig:SignedInfo</code> der XML-Signatur ein Element <code>ReferenceInfo</code> angeben. Ausgenommen sind <code>dsig:Reference</code>-Elemente, die auf ein Signaturmanifest (Attribut <code>Type</code> ist gesetzt und hat den Wert <code>http://www.buergerkarte.at/specifications/Security-Layer/20020225#SignatureManifest</code>), auf ein XMLDSIG-Manifest (Attribut <code>Type</code> ist gesetzt und hat den Wert <code>http://www.w3.org/2000/09/xmldsig#Manifest</code>) oder auf Signatureigenschaften (Attribut <code>Type</code> ist gesetzt und hat den Wert <code>http://uri.etsi.org/01903/v1.1.1#SignedProperties</code>) verweisen. </p>
-<p>Das Element <code>ReferenceInfo</code> enth&auml;lt eine oder mehrere erlaubte Transformationsketten, die jeweils durch ein Element <code>VerifyTransformsInfoProfile/dsig:Transforms</code> repr&auml;sentiert werden. Im konkreten Beispiel werden f&uuml;r die einzige zu pr&uuml;fende <code>dsig:Reference</code> zwei erlaubte Transformationsketten angegeben. Die Transformationen in der <code>dsig:Reference</code> m&uuml;ssen einer dieser beiden Ketten entsprechen; im konkreten Beispiel entsprechen sie der ersten. </p>
-<p>Nachdem die erste erlaubte Transformationskette eine XSLT-Transformation mit einem inkludierten Stylesheet enth&auml;lt, muss MOA SP auch &uuml;berpr&uuml;fen, ob dieser inkludierte Stylesheet korrekt durch ein Signaturmanifest mitunterschrieben wurde. Nachdem wichtig ist, dass nicht irgendein beliebiger Stylesheet verwendet und mitunterschrieben wurde, sondern genau jener, den die Anwendung bei der Signaturerstellung vorgegeben hat, muss die Anwendung MOA SP mitteilen, welcher Stylesheet das sein muss. Die Anwendung verwendet dazu das Element <code>VerifyTransformsInfoProfile/TransformParameter</code>. Das Attribut <code>TransformParameter/@URI</code> enth&auml;lt die Referenz auf den Stylesheet genau so, wie er im Stylesheet-Parameter der zu pr&uuml;fenden Signatur verwendet wird (<code>dsig:Transform/xsl:stylesheet/xsl:inlcude/@href</code>). F&uuml;r den Inhalt dieses Elements hat die Anwendung drei M&ouml;glichkeiten: </p>
-<ul>
- <li>Die Anwendung l&auml;sst den Inhalt leer. Dies wird sie dann machen, wenn sie darauf vertrauen kann, dass die Aufl&ouml;sung der in <code>TransformParameter/@URI</code> angegebenen Referenz bei der Signaturpr&uuml;fung zum gleichen Resultat f&uuml;hrt wie seinerzeit beim Erstellen der Signatur (z.B. weil die Referenz auf einen Webserver unter Kontrolle der Anwendung zeigt);</li>
- <li>Die Anwendung gibt im Element <code>TransformParameter/Base64Content</code> explizit den inkludierten Stylesheet an. MOA SP verwendet dann diesen Stylesheet, um den Hashwert der <code>dsig:Reference</code> im Signaturmanifest zu kontrollieren;</li>
- <li>Die Anwendung gibt im Element <code>TransformParameter/Hash </code>den Hashwert des inkludierten Stylesheets an. MOA SP l&ouml;st dann die Referenz in <code>dsig:Transform/xsl:stylesheet/xsl:inlcude/@href</code> auf und stellt sicher, dass der &uuml;ber das Aufl&ouml;sungsergebnis gebildete Hashwert jenem in <code>TransformParameter/Hash </code>entspricht. Diese M&ouml;glichkeit wird die Anwendung dann verwenden, wenn es sich um einen sehr umfangreichen Stylesheet handelt, der nicht im Request mit&uuml;bertragen werden soll.</li>
-</ul>
-<h5>Response</h5>
-<p><code><a href="../../clients/webservice/resources/requests/VerifyXMLSignatureRequest.SigManifest.resp.xml" target="_blank">VerifyXMLSignatureRequest.SigManifest.resp.xml</a></code> ist eine typische Response des SP Webservices auf den obigen Request. Sein Aufbau wird nachfolgend analysiert. Bitte beachten Sie, dass die dargestellte Response zur bessernen Lesbarkeit einger&uuml;ckt und gek&uuml;rzt wurde. </p>
-<pre>
-&lt;VerifyXMLSignatureResponse
- xmlns=&quot;http://reference.e-government.gv.at/namespace/moa/20020822#&quot;
- xmlns:dsig=&quot;http://www.w3.org/2000/09/xmldsig#&quot;&gt;
- &lt;SignerInfo&gt;...&lt;/SignerInfo&gt;
-</pre>
-<p>Die Response enth&auml;lt zun&auml;chst in <code>SignerInfo/dsig:X509Data</code> Informationen &uuml;ber den Signator, die aus dem in der XML-Signatur enthaltenen Signatorzertifikat entnommen sind (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>). </p>
-<pre>
- &lt;ReferenceInputData PartOf=&quot;SignedInfo&quot;&gt;
- &lt;XMLContent xml:space=&quot;preserve&quot;&gt;
- &lt;doc:Paragraph ParaId=&quot;Para2&quot; xmlns:doc=&quot;urn:document&quot;
- xmlns:xsi=&quot;http://www.w3.org/2001/XMLSchema-instance&quot;&gt;...&lt;/doc:Paragraph&gt;
- &lt;/XMLContent&gt;
- &lt;/ReferenceInputData&gt;
- &lt;ReferenceInputData PartOf=&quot;SignedInfo&quot;&gt;
- &lt;XMLContent xml:space=&quot;preserve&quot;&gt;
- &lt;dsig:Manifest Id=&quot;manifest-1-1&quot; xmlns:doc=&quot;urn:document&quot; xmlns:xsi=&quot;http://www.w3.org/2001/XMLSchema-instance&quot;&gt;
- ...
- &lt;/dsig:Manifest&gt;
- &lt;/XMLContent&gt;
- &lt;/ReferenceInputData&gt;
- &lt;ReferenceInputData PartOf=&quot;SignedInfo&quot;&gt;
- &lt;XMLContent xml:space=&quot;preserve&quot;&gt;
- &lt;etsi:SignedProperties xmlns:doc=&quot;urn:document&quot;
- xmlns:etsi=&quot;http://uri.etsi.org/01903/v1.1.1#&quot; xmlns:xsi=&quot;http://www.w3.org/2001/XMLSchema-instance&quot;&gt;
- ...
- &lt;/etsi:SignedProperties&gt;
- &lt;/XMLContent&gt;
- &lt;/ReferenceInputData&gt;
-</pre>
-<p>Nachdem im Request spezifiziert wurde, dass in der Response die Referenzeingangsdaten f&uuml;r alle <code>dsig:Reference</code>-Elemente
- von <code>dsig:SignedInfo</code> (bzw. auch f&uuml;r jede <code>dsig:Reference</code> aus einem <code>dsig:Manifest</code>,
- auf das mittels des Attributs <code>Type=&quot;http://www.w3.org/2000/09/xmldsig#Manifest&quot;</code> in einer <code>dsig:Reference</code> aus <code>dsig:SignedInfo</code> verwiesen
- wird; solche Manifeste kommen aber in diesem Beispiel nicht vor) der gepr&uuml;ften
- XML-Signatur &uuml;bermittelt
- werden sollen, enth&auml;lt
- die Response nach <code>SignerInfo</code> drei <code>ReferenceInputData</code>-Elemente. Das erste <code>ReferenceInputData</code>-Element
- enth&auml;lt das zuvor besprochene <code>doc:Paragraph</code> Element, das zweite das Signaturmanifest, das
- dritte die Signatureigenschaften. Das Attribut <code>PartOf</code> jedes Elements weist mit dem Wert <code>SignedInfo</code> darauf hin,
- dass die <code>dsig:Reference</code>, f&uuml;r welche die Referenzeingangsdaten gelten, Teil von <code>dsig:SignedInfo</code> ist. </p>
-<pre>
- &lt;SignatureCheck&gt;
- &lt;Code&gt;0&lt;/Code&gt;
- &lt;/SignatureCheck&gt;
-</pre>
-<p>Das Element<code> SignatureCheck</code> enth&auml;lt das Resultat der kryptographischen Pr&uuml;fung der Signatur (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>).</p>
-<pre>
- &lt;SignatureManifestCheck&gt;
- &lt;Code&gt;0&lt;/Code&gt;
- &lt;/SignatureManifestCheck&gt;
-</pre>
-<p>Das Element <code>SignatureManifestCheck</code> enh&auml;lt das Resultat der Pr&uuml;fung des Zusammenhangs zwischen Referenz-Eingangsdaten und Hash-Eingangsdaten. Der Kode <code>0</code> im konkreten Beispiel bedeutet, dass alle Referenzen die in der Anfrage zur &Uuml;berpr&uuml;fung der XML-Signatur gemachten Einschr&auml;nkungen bez&uuml;glich der erlaubten Transformationskette(n) einhalten, sowie dass die Anforderungen hinsichtlich des Signaturmanifests werden eingehalten. F&uuml;r eine &Uuml;bersicht der m&ouml;glichen Kodes siehe die <a href="../spec/MOA-SPSS-2.0.0.pdf" target="_blank">Spezifikation zu MOA SP/SS</a>, Abschnitt 5.1.3.1.4.</p>
-<pre>
- &lt;CertificateCheck&gt;
- &lt;Code&gt;0&lt;/Code&gt;
- &lt;/CertificateCheck&gt;
-&lt;/VerifyXMLSignatureResponse&gt;
-</pre>
-<p>Das Element<code> CertificateCheck</code> enth&auml;lt das Resultat der Zertifikatspr&uuml;fung (siehe <a href="#webservice_xmlrequests_pruefungxml_einfach">Einfaches Beispiel</a>).</p>
-<p>&nbsp;</p>
-<p>@TODO Beispiel-Request mit TSL-Pr&uuml;fung</p>
-<h2><a name="webservice_clients" id="webservice_clients"></a>2.2 Webservice-Clients</h2>
-<p><a href="#webservice_xmlrequests">Abschnitt 2.1</a> bespricht eine Reihe von typischen XML-Requests, die &uuml;ber die Webservice-Schnittstelle an MOA SP/SS gesendet werden k&ouml;nnen, um entweder Signaturen zu erstellen (MOA SS) oder Signaturen zu pr&uuml;fen (MOA SP). Dieser Abschnitt zeigt die Verwendung des prototypischen Webservice-Clients, der mit dieser Dokumentation zu MOA SP/SS ausgeliefert wird.</p>
-<h3><a name="webservice_clients_übersicht" id="webservice_clients_übersicht"></a>2.2.1 &Uuml;bersicht</h3>
-<p>Der Webservice-Client existiert in drei Varianten, wobei jede Variante in einer eigenen Java-Klasse implementiert ist:</p>
-<ul>
- <li>Der einfache Client (<code><a href="../../clients/webservice/src/main/java/at/gv/egovernment/moa/spss/handbook/clients/webservice/HTTP.java">HTTP.java</a></code>) arbeitet ohne Authentifikation. Er pr&uuml;ft weder die Authentizit&auml;t des verwendeten MOA-Webservices, noch identifiziert er sich selbst gegen&uuml;ber dem MOA-Webservice.</li>
- <li>Der Client mit Server-Authentisierung (<code><a href="../../clients/webservice/src/main/java/at/gv/egovernment/moa/spss/handbook/clients/webservice/HTTPSServerAuth.java">HTTPSServerAuth.java</a></code>) pr&uuml;ft die Authentizit&auml;t des verwendeten MOA-Websservices an Hand dessen SSL-Serverzertifikats, identifiziert sich selbst jedoch nicht gegen&uuml;ber dem MOA-Webservice.</li>
- <li>Der Client mit Client- und Server-Authentisierung (<code><a href="../../clients/webservice/src/main/java/at/gv/egovernment/moa/spss/handbook/clients/webservice/HTTPSClientAuth.java">HTTPSClientAuth.java</a></code>) pr&uuml;ft einerseits die Authentizit&auml;t des verwendeten MOA-Websservices an Hand dessen SSL-Serverzertifikats; andererseits weist er sich selbst mittels eines SSL-Client-Zertifikats gegen&uuml;ber dem MOA-Webservice aus. </li>
-</ul>
-<p>Welcher der drei Varianten des Webservice-Clients zum Einsatz kommen soll, h&auml;ngt von der Art ab, wie das MOA-Webservice betrieben wird, d.h. ob es Server- bzw. Client-Authentisierung unterst&uuml;tzt bzw. verlangt. Befinden sich sowohl MOA-Webservice als auch der Webservice-Client im gleichen, abgeschotteten Netzwerk, kann auch eine Kommunikation ohne Authenifikation in Betracht gezogen werden. Ansonsten wird der Standardfall wohl der Betrieb mit Server-Authentisierung (Verwendung von MOA SP) bzw. mit Server- und Client-Authentisierung (Verwendung von MOA SS) sein.</p>
-<p class="remark">Hinweis: Das <a href="../../">Wurzelverzeichnis</a> dieses Handbuchs stellt ein komplettes und sofort verwendbares Eclipse Projekt dar. </p>
-<h3><a name="webservice_clients_gemeinsamkeiten" id="webservice_clients_gemeinsamkeiten"></a>2.2.2 Gemeinsamkeiten</h3>
-<p>Dieser Abschnitt beschreibt die Gemeinsamkeiten aller drei Varianten des Webservice-Clients. </p>
-<p>Zun&auml;chst einmal ben&ouml;tigen alle drei Varianten die folgenden Java-Bibliotheken, die im Ordner <a href="../../clients/webservice/lib/">clients/webservice/lib/</a> dieses Handbuchs bereits enthalten sind:</p>
-<table class="fixedwidth" border="1" cellpadding="2">
- <TBODY>
- <TR>
- <TH>Java-Bibliothek</TH>
- <TH>Bemerkung</TH>
- </TR>
- <tr class="fixedWidth">
- <td><a href="http://java.com/" target="_blank">Java SE</a></td>
- <td>Java Standard Edition (Software Development Kit bzw. Java Runtime Environment) </td>
- </tr>
- <TR>
- <TD><a href="#referenzierte_software">Apache Xerces</a></TD>
- <TD>XML-Parser, Version 2.0.2 oder h&ouml;her</TD>
- </TR>
- <TR>
- <TD><a href="#referenzierte_software">AXIS Framework</a></TD>
- <TD>Webservice-Framework, ab Version 1.1.</TD>
- </TR>
- </TBODY>
-</TABLE>
-<p>Weiters ist allen drei Varianten der folgende Kern-Ablauf gemeinsam:</p>
-<ol>
- <li>Der Webservice-Client liest einen vorbereiteten MOA-XML-Request (z. B. einen der in <a href="#webservice_xmlrequests">Abschnitt 2.1</a> gezeigten) vom Dateisystem ein.</li>
- <li>Der Webservice-Client erstellt einen SOAP-Request mit dem vom Dateisystem gelesenen MOA-XML-Request als Nutzlast.</li>
- <li>Der Webservice-Client sendet den erstellten SOAP-Request &uuml;ber HTTP an MOA SP/SS. </li>
- <li>Der Webservice-Client empf&auml;ngt die SOAP-Response von MOA SP/SS.</li>
- <li>Der Webservice-Client extrahiert die Nutzlast des SOAP-Responses (d. h. die zum MOA-XML-Request aus Schritt 1 passende MOA-XML-Response), gibt diese auf die Konsole aus und speichert sie im Dateisystem. </li>
-</ol>
-<p>Konfiguriert werden k&ouml;nnen alle drei Varianten mit Hilfe von zwei Kommandozeilen-Parametern:</p>
-<ol>
- <li>Der erste Kommandozeilenparameter gibt an, ob MOA SS (Wert <code>sign</code>) oder MOA SP (Wert <code>verify</code>) kontaktiert werden soll. </li>
- <li>Der zweite Kommandozeilenparameter enth&auml;lt Pfad und Dateiname einer Java-Properties-Datei, die die weiteren Konfigurationsparameter f&uuml;r den Webservice-Client enth&auml;lt. Ein relativer Pfad wird als relativ zum Arbeitsverzeichnis der Java Virtual Machine interpretiert. Genaue Infos zu den m&ouml;glichen Konfigurationsparametern entnehmen Sie bitte der Quellcodedokumentation der jeweiligen Variante des Webservice-Clients. <a href="../../clients/webservice/conf/http.properties"><code>http.properties</code></a> enth&auml;lt eine auf dieses Handbuch abgestimmte Konfiguration.</li>
-</ol>
-<h3><a name="webservice_clients_httpsserverauth" id="webservice_clients_httpsserverauth"></a>2.2.3 Besonderheiten von <code>HTTPSServerAuth.java</code></h3>
-<p>Diese Variante des Webservice-Clients baut im Schritt 3 des Kernablaufs aus <a href="#webservice_clients_gemeinsamkeiten">Abschnitt 2.2.2</a> eine SSL-Verbindung mit Server-Authentifizierung zum MOA SP/SS Server auf. In dieser SSL-Verbindung sendet der Webservice-Client dann den erstellten SOAP-Request &uuml;ber HTTPS.</p>
-<p>Die entsprechende Konfiguration (Speicher f&uuml;r die vertrauensw&uuml;rdigen Serverzertifikate, Typ dieses Speichers, Passwort f&uuml;r diesen Speicher) wird mittels zus&auml;tzlicher Parameter in der in <a href="#webservice_clients_gemeinsamkeiten">Abschnitt 2.2.2</a> besprochenen Java-Properties-Datei vorgenommen. Genaue Infos zu diesen Konfigurationsparametern entnehmen Sie bitte der Quellcodedokumentation von <code><a href="../../clients/webservice/src/main/java/at/gv/egovernment/moa/spss/handbook/clients/webservice/HTTPSServerAuth.java">HTTPSServerAuth.java</a></code>. <a href="../../clients/webservice/conf/http.properties"><code>http.properties</code></a> enth&auml;lt eine auf dieses Handbuch abgestimmte Konfiguration.</p>
-<p>Falls Sie Probleme beim SSL-Verbindungsaufbau zwischen Webservice-Client und MOA SP/SS Webservice haben, empfiehlt sich die Aktivierung des SSL Loggings. Das Setzen der daf&uuml;r notwendigen Java System Property ist im Quellcode von <code><a href="../../clients/webservice/src/main/java/at/gv/egovernment/moa/spss/handbook/clients/webservice/HTTPSServerAuth.java">HTTPSServerAuth.java</a></code> bereits enthalten, jedoch auskommentiert. Suchen Sie einfach nach dem String <code>javax.net.debug</code>, um zur entsprechenden Stelle im Quellcode zu gelangen. </p>
-<h3><a name="webservice_clients_httpsclientauth" id="webservice_clients_httpsclientauth"></a>2.2.4 Besonderheiten von <code>HTTPSClientAuth.java</code> </h3>
-<p>Diese Variante des Webservice-Clients baut im Schritt 3 des Kernablaufs aus <a href="#webservice_clients_gemeinsamkeiten">Abschnitt 2.2.2</a> eine SSL-Verbindung mit Server- und Client-Authentifizierung zum MOA SP/SS Server auf. In dieser SSL-Verbindung sendet der Webservice-Client dann den erstellten SOAP-Request &uuml;ber HTTPS.</p>
-<p>Die gegen&uuml;ber <a href="#webservice_clients_httpsserverauth">Abschnitt 2.2.3</a> zus&auml;tzlich notwendige Konfiguration (Speicher f&uuml;r das SSL-Client-Zertifikat sowie den dazugeh&ouml;rigen privaten Schl&uuml;ssel, Typ dieses Speichers, Passwort f&uuml;r diesen Speicher) wird mittels zus&auml;tzlicher Parameter in der in <a href="#webservice_clients_gemeinsamkeiten">Abschnitt 2.2.2</a> besprochenen Java-Properties-Datei vorgenommen. Genaue Infos zu diesen Konfigurationsparametern entnehmen Sie bitte der Quellcodedokumentation von <code><a href="../../clients/webservice/src/main/java/at/gv/egovernment/moa/spss/handbook/clients/webservice/HTTPSClientAuth.java">HTTPSClientAuth.java</a></code>. <a href="../../clients/webservice/conf/http.properties"><code>http.properties</code></a> enth&auml;lt eine auf dieses Handbuch abgestimmte Konfiguration.</p>
-<p>Beachten Sie bitte auch den Hinweis zum SSL Logging aus <a href="#webservice_clients_httpsserverauth">Abschnitt 2.2.3</a>.</p>
-<h1><a name="klassenbibliothek" id="klassenbibliothek"></a>3 Verwendung der Klassenbibliothek</h1>
-<p>Neben dem Betrieb von MOA SP/SS als Webservice ist als Alternative auch die Verwendung von MOA SP/SS als Klassenbibliothek m&ouml;glich, also die direkte Einbindung in ein Java-Programm unter Verwendung des Application Programmers Interface (API) von MOA SP/SS. </p>
-<h2><a name="klassenbibliothek_vorbereitung" id="klassenbibliothek_vorbereitung"></a>3.1 Vorbereitung</h2>
-<p>Um das API von MOA SP/SS verwenden zu k&ouml;nnen, m&uuml;ssen einerseits die MOA-Bibliotheken selbst, andererseits eine Reihe von unterst&uuml;tzenden Bibliotheken in den Klassenpfad aufgenommen werden. Eine &Uuml;bersicht dazu finden Sie im Installationshandbuch im <a href="../install/install.html#klassenbibliothek">Abschnitt 3</a>.
-<h2><a name="klassenbibliothek_allgemeines" id="klassenbibliothek_allgemeines"></a>3.2 Allgemeines </h2>
-<p>Der strukturelle Aufbau der API entspricht weitgehend der Struktur eines MOA-XML-Requests. Es werden daher in diesem Abschnitt nur zwei grundlegende Beispiele gebracht; f&uuml;r komplexere Aufgaben k&ouml;nnen die XML-Beispiele aus <a href="#webservice_xmlrequests">Abschnitt 2.1</a> als Vorlage verwendet und einfach in die &quot;API-Welt&quot; &uuml;bertragen werden.
-<h2><a name="klassenbibliothek_beispiele" id="klassenbibliothek_beispiele"></a>3.3 Beispiele </h2>
-<p>Dieses Handbuch enth&auml;lt zwei Beispiele f&uuml;r die Verwendung der API von MOA SP/SS:
-<ol>
- <li><code><a href="../../clients/api/src/main/java/at/gv/egovernment/moa/spss/handbook/clients/api/CreateXMLSignature.java">CreateXMLSignature.java</a></code>: Erstellung einer einfachen XML-Signatur; dieses Beispiel entspricht dem MOA-XML-Request aus <a href="#webservice_xmlrequests_erstellungxml_simple">Abschnitt 2.1.1.1</a>. <br>
- Die Konfiguration der API erfolgt &uuml;ber Kommandozeilenparameter (Lage der Konfigurationsdatei f&uuml;r MOA SP/SS, Lage der Konfigurationsdatei f&uuml;r das Logging mit Log4j). Detaillierte Informationen dazu finden Sie in der Quellcodedokumentation des Beispiels. </li>
- <li><code><a href="../../clients/api/src/main/java/at/gv/egovernment/moa/spss/handbook/clients/api/VerifyXMLSignature.java">VerifyXMLSignature.java</a></code>: Pr&uuml;fung einer einfachen XML-Signatur; dieses Beispiel entspricht dem MOA-XML-Request aus <a href="#webservice_xmlrequests_pruefungxml_einfach">Abschnitt 2.1.3.1</a>. <br>
- Die Konfiguration der API erfolgt &uuml;ber Kommandozeilenparameter (Lage der Konfigurationsdatei f&uuml;r MOA SP/SS, Lage der Konfigurationsdatei f&uuml;r das Logging mit Log4j). Detaillierte Informationen dazu finden Sie in der Quellcodedokumentation des Beispiels. <br>
- Die Auswahl der zu pr&uuml;fenden Signatur erfolgt ebenfalls per Kommandozeilenparameter. Detaillierte Informationen dazu finden Sie ebenfalls in der Quellcodedokumentation des Beispiels. </li>
-</ol>
-<h2><a name="klassenbibliothek_apidoc" id="klassenbibliothek_apidoc"></a>3.4 API-Dokumentation </h2>
-<p>F&uuml;r die vollst&auml;ndige Dokumentation des API von MOA SP/SS sei auf die <a href="../../api-doc/index.html">Java Doc der API</a> verwiesen.
-<p>
-<h1><a name="referenzierte_software" id="referenzierte_software"></a>A Referenzierte Software</h1>
-<p>Auf folgende Software-Pakete wird in diesem Handbuch verwiesen:</p>
-<table class="fixedWidth" border="1" cellpadding="2">
- <tbody>
- <tr>
- <th scope="col">Name</th>
- <th scope="col">Beschreibung</th>
- </tr>
- <tr>
- <td><a href="http://xml.apache.org/xerces2-j/">Apache Xerces 2</a> </td>
- <td>XML-Parser aus dem Apache Project</td>
- </tr>
- <tr>
- <td><a href="http://axis.apache.org/axis/">Apache Axis</a></td>
- <td>Webservice-Framework aus dem Apache Project</td>
- </tr>
- <tr>
- <td><a href="http://java.com/" target="_blank">Java SE</a></td>
- <td>Java Standard Edition (Software Development Kit bzw. Java Runtime Environment) </td>
- </tr>
- </tbody>
-</table>
-<h1><a name="referenzierte_spezifikation" id="referenzierte_spezifikation"></a>B Referenzierte Spezifikation</h1>
-<table class="fixedWidth" border="1" cellpadding="2">
- <tbody>
- <tr>
- <th>Spezifikation</th>
- <th>Link</th>
- </tr>
- <tr id="sl">
- <td><p>Security Layer Spezifikation V x.x @TODO Version einf&uuml;gen</p></td>
- <td>@TODO Link</td>
- </tr>
- </tbody>
-</table>
-</body>
-</html>
diff --git a/id/server/doc/htmlTemplates/BKU-selection.html b/id/server/doc/htmlTemplates/BKU-selection.html
index 9d6ad4085..b9d3eafa7 100644
--- a/id/server/doc/htmlTemplates/BKU-selection.html
+++ b/id/server/doc/htmlTemplates/BKU-selection.html
@@ -628,6 +628,10 @@
document.getElementById("localBKU").style.display="block";
return;
}
+ function bkuLocalClicked() {
+ setMandateSelection();
+ }
+
function bkuOnlineClicked() {
if (isMetro())
document.getElementById("metroDetected").style.display="block";
@@ -796,9 +800,11 @@
type="hidden" name="CCC" id="ccc"> <input type="hidden"
name="MODUL" value="#MODUL#"> <input type="hidden"
name="ACTION" value="#ACTION#"> <input type="hidden"
- name="MOASessionID" value="#SESSIONID#"> <input
- type="submit" value=">lokale Bürgerkartenumgebung" tabindex="4"
- role="button" class="hell">
+ name="MOASessionID" value="#SESSIONID#">
+ <input type="submit" value=">lokale Bürgerkartenumgebung" tabindex="4"
+ role="button" class="hell"
+ onclick="setMandateSelection();"
+ >
<!--p>
<small>Alternativ können Sie eine lokal installierte BKU verwenden.</small>
</p-->
diff --git a/id/server/doc/htmlTemplates/template_onlineBKU.html b/id/server/doc/htmlTemplates/template_onlineBKU.html
new file mode 100644
index 000000000..52abf83fb
--- /dev/null
+++ b/id/server/doc/htmlTemplates/template_onlineBKU.html
@@ -0,0 +1,37 @@
+<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
+<html lang="de">
+ <head>
+ <title></title>
+ <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
+ <script language="javascript" type="text/javascript">
+ function onAnmeldeSubmit() {
+ document.CustomizedForm.submit();
+ document.CustomizedForm.Senden.disabled=true;
+ }
+ </script>
+ </head>
+ <body onLoad="onAnmeldeSubmit()">
+ <form name="CustomizedForm" action="<BKU>" method="post" enctype="multipart/form-data<>">
+ Falls Sie nicht automatisch weitergeleitet werden klicken Sie bitte hier:
+ <input class="button" type="hidden" value="Starte Anmeldung" name="Senden">
+ <input type="hidden" name="XMLRequest" value="<XMLRequest>">
+ <input type="hidden" name="DataURL" value="<DataURL>">
+ <input type="hidden" name="PushInfobox" value="<PushInfobox>">
+
+ <!-- Angabe der Parameter fuer die Online-BKU -->
+ <input type="hidden" name="appletWidth" value="<APPLETWIDTH>">
+ <input type="hidden" name="appletHeight" value="<APPLETHEIGHT>">
+
+ <!-- [OPTIONAL] Aendern Sie hier die Hintergrundfarbe der Online-BKU -->
+ <input type="hidden" name="appletBackgroundColor" value="<COLOR>">
+ <input type="hidden" name="redirectTarget" value="<REDIRECTTARGET>">
+ </form>
+
+ <form name="CustomizedInfoForm" action="<BKU>" method="post">
+ <input type="hidden" name="XMLRequest" value="<CertInfoXMLRequest>">
+ <input type="hidden" name="DataURL" value="<CertInfoDataURL>">
+ </form>
+ <form name="DummyForm" action="<BKU>" method="post">
+ </form>
+ </body>
+</html>
diff --git a/id/server/doc/moa_id/common/LogoBKA.png b/id/server/doc/moa_id/common/LogoBKA.png
deleted file mode 100644
index 6a92647fd..000000000
--- a/id/server/doc/moa_id/common/LogoBKA.png
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_id/common/LogoEGIZ.png b/id/server/doc/moa_id/common/LogoEGIZ.png
deleted file mode 100644
index 39f05d131..000000000
--- a/id/server/doc/moa_id/common/LogoEGIZ.png
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_id/common/MOA.css b/id/server/doc/moa_id/common/MOA.css
deleted file mode 100644
index 6c0009932..000000000
--- a/id/server/doc/moa_id/common/MOA.css
+++ /dev/null
@@ -1,618 +0,0 @@
-body
-{
- font-family: "Times New Roman", Times, serif;
- font-size: medium;
- font-weight: normal;
- margin-left: 2.5em;
- margin-right: 2.5em;
- background-color: white;
- text: #000000;
- link: #990000;
- vlink: #666666;
- alink: #cc9966;
-}
-
-
-
-
-p
-{
- margin-top: 0pt;
- margin-bottom: 0.5em;
- text-align: justify
-}
-
-pre
-{
- font-family: "Courier New", monospace;
- font-size: 90%;
- background-color: #cccccc;
- color: #000000;
- margin-left:1.5%;
- margin-right:1.5%;
- margin-top: 1em;
- margin-bottom: 1em;
- border: #008000 none;
-}
-
-hr
-{
- color: #000080;
- background-color: #000080;
- margin-top: 0.5em;
- margin-bottom: 0.5em;
-}
-
-table.fixedWidth
-{
- width: 97%;
- margin-left:1.5%;
- margin-right:1.5%;
- margin-top: 1em;
- margin-bottom: 1em;
-}
-
-
-table.varWidth
-{
- margin-left:1.5%;
- margin-top: 1em;
- margin-bottom: 1em;
-}
-
-th
-{
- text-align: left;
-}
-
-h1
-{
- color: #000000;
- text-align: left;
- font-size: 167%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal;
- background-color:#999;
-}
-
-h2
-{
- color: #000000;
- font-size: 150%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal;
- background-color:#999;
-}
-
-h3
-{
- color: #000000;
- font-size: 133%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal;
- background-color:#999;
-}
-
-h4
-{
- color: #000000;
- font-size: 116%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal;
- background-color:#999;
-}
-
-h5
-{
- color: #000000;
- font-size: 100%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal;
- background-color:#999;
-}
-
-h6
-{
- color: #000000;
- font-size: 83%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal;
- background-color:#999;
-}
-
-code
-{
- font-family: "Courier New", Courier, monospace;
- font-size: 90%;
- color: #000000
-}
-
-dd
-{
- margin-top: 0.8em;
- margin-bottom: 0.8em;
- text-align: justify
-
-}
-
-dt
-{
- margin-top: 0.8em;
- font-family: Arial, Helvetica, sans-serif;
- color: #000080
-}
-
-ol
-{
- margin-top: 0.5em;
- margin-bottom: 0.5em
-}
-
-ol.alpha
-{
- list-style-type: lower-alpha
-}
-
-li
-{
- margin-top: 0.25em;
- margin-bottom: 0.25em;
- text-align: justify
-}
-
-a:hover
-{
- color: #990000
-}
-
-
-.title
-{
- text-align: left;
- font-size: 200%;
- color: #000000;
- font-family: Arial, Helvetica, sans-serif;
- margin-top: 0.4em;
- margin-bottom: 0.4em;
- background-color:#999;
-}
-
-.subtitle
-{
- text-align: left;
- font-size: 133%;
- color: #000000;
- font-family: Arial, Helvetica, sans-serif;
- margin-top: 0.4em;
- margin-bottom: 0.4em
-}
-
-.glossaryTerm
-{
- font-style: italic;
- color: #006699
-}
-
-.example
-{
- font-family: "Courier New", monospace;
- background-color: #CCFFFF;
- color: #000000;
- margin: 0pt 0pt;
- border: #008000 none
-}
-
-.schema
-{
- font-family: "Courier New", monospace;
- background-color: #FFFFCC;
- color: #000000;
- margin: 0pt 0pt;
- border: #008000 none
-}
-
-.documentinfo
-{
- font-family: Arial, Helvetica, sans-serif;
- font-size: 100%;
-}
-
-.ol-contents
-{
- font-size: 100%;
- margin-top: 0.0em;
- margin-bottom: 0.0em;
-}
-
-.li-contents
-{
- font-size: 100%;
- margin-top: 0.0em;
- margin-bottom: 0.0em;
-}
-
-.logoTitle
-{
- text-align: center;
- font-size: 200%;
- color: #000080;
- font-family: Arial, Helvetica, sans-serif;
-}
-
-.logoTable
-{
- margin-bottom: 0px;
- margin-left: 0px
-}
-
-.superscript
-{
- vertical-align: super;
- font-size: 66%;
-}
-
-.term
-{
- font-style: italic;
-}
-
-.comment
-{
- color: #000000;
- background: #ffff00;
- font-style: italic
-}
-
-.addedErrata12
-{
- color: #FF0000;
- background-color: #FFEEEE;
- text-decoration: underline
-}
-
-.deletedErrata12
-{
- color: #999999;
- background-color: #EEEEEE;
- text-decoration: line-through
-}
-
-.added12
-{
- color: #FF0000;
- text-decoration: underline
-; background-color: #F8F0FF
-}
-
-.deleted12
-{
- color: #999999;
- text-decoration: line-through
-; background-color: #f8f0ff
-}
-
-.rfc2119Keyword
-{
- font-variant: small-caps;
- font-style: normal;
-}
-
-.remark { font-style: italic}
-
-li.faq
-{
- margin-top: 1.5em;
- margin-bottom: 1.5em;
-}
-
-.faq-question
-{
- color: #000080;
- font-size: 100%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal;
- margin-bottom: 0.4em;
-}
-
-
-/*body
-{
- font-family: "Times New Roman", Times, serif;
- font-size: medium;
- font-weight: normal;
- margin-left: 2.5em;
- margin-right: 2.5em;
-}
-
-p
-{
- margin-top: 0pt;
- margin-bottom: 0.5em;
- text-align: justify
-}
-
-pre
-{
- font-family: "Courier New", monospace;
- font-size: 90%;
- background-color: #cccccc;
- color: #000000;
- margin-left:1.5%;
- margin-right:1.5%;
- margin-top: 1em;
- margin-bottom: 1em;
- border: #008000 none;
-}
-
-hr
-{
- color: #000080;
- background-color: #000080;
- margin-top: 0.5em;
- margin-bottom: 0.5em;
-}
-
-table.fixedWidth
-{
- width: 97%;
- margin-left:1.5%;
- margin-right:1.5%;
- margin-top: 1em;
- margin-bottom: 1em;
-}
-
-
-table.varWidth
-{
- margin-left:1.5%;
- margin-top: 1em;
- margin-bottom: 1em;
-}
-
-th
-{
- text-align: left;
-}
-
-h1
-{
- color: #000080;
- text-align: left;
- font-size: 167%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal
-}
-
-h2
-{
- color: #000080;
- font-size: 150%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal
-}
-
-h3
-{
- color: #000080;
- font-size: 133%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal
-}
-
-h4
-{
- color: #000080;
- font-size: 116%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal
-}
-
-h5
-{
- color: #000080;
- font-size: 100%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal
-}
-
-h6
-{
- color: #000080;
- font-size: 83%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal
-}
-
-code
-{
- font-family: "Courier New", Courier, monospace;
- font-size: 90%;
- color: #000000
-}
-
-dd
-{
- margin-top: 0.8em;
- margin-bottom: 0.8em;
- text-align: justify
-
-}
-
-dt
-{
- margin-top: 0.8em;
- font-family: Arial, Helvetica, sans-serif;
- color: #000080
-}
-
-ol
-{
- margin-top: 0.5em;
- margin-bottom: 0.5em
-}
-
-ol.alpha
-{
- list-style-type: lower-alpha
-}
-
-li
-{
- margin-top: 0.25em;
- margin-bottom: 0.25em;
- text-align: justify
-}
-
-a:hover
-{
- color: #990000
-}
-
-
-.title
-{
- text-align: left;
- font-size: 167%;
- color: #000080;
- font-family: Arial, Helvetica, sans-serif;
- margin-top: 0.4em;
- margin-bottom: 0.4em
-}
-
-.subtitle
-{
- text-align: left;
- font-size: 133%;
- color: #000080;
- font-family: Arial, Helvetica, sans-serif;
- margin-top: 0.4em;
- margin-bottom: 0.4em
-}
-
-.glossaryTerm
-{
- font-style: italic;
- color: #006699
-}
-
-.example
-{
- font-family: "Courier New", monospace;
- background-color: #CCFFFF;
- color: #000000;
- margin: 0pt 0pt;
- border: #008000 none
-}
-
-.schema
-{
- font-family: "Courier New", monospace;
- background-color: #FFFFCC;
- color: #000000;
- margin: 0pt 0pt;
- border: #008000 none
-}
-
-.documentinfo
-{
- font-family: Arial, Helvetica, sans-serif;
- font-size: 100%;
-}
-
-.ol-contents
-{
- font-size: 100%;
- margin-top: 0.0em;
- margin-bottom: 0.0em;
-}
-
-.li-contents
-{
- font-size: 100%;
- margin-top: 0.0em;
- margin-bottom: 0.0em;
-}
-
-.logoTitle
-{
- text-align: center;
- font-size: 133%;
- color: #000080;
- font-family: Arial, Helvetica, sans-serif;
-}
-
-.logoTable
-{
- margin-bottom: 0px;
- margin-left: 0px
-}
-
-.superscript
-{
- vertical-align: super;
- font-size: 66%;
-}
-
-.term
-{
- font-style: italic;
-}
-
-.comment
-{
- color: #000000;
- background: #ffff00;
- font-style: italic
-}
-
-.addedErrata12
-{
- color: #FF0000;
- background-color: #FFEEEE;
- text-decoration: underline
-}
-
-.deletedErrata12
-{
- color: #999999;
- background-color: #EEEEEE;
- text-decoration: line-through
-}
-
-.added12
-{
- color: #FF0000;
- text-decoration: underline
-; background-color: #F8F0FF
-}
-
-.deleted12
-{
- color: #999999;
- text-decoration: line-through
-; background-color: #f8f0ff
-}
-
-.rfc2119Keyword
-{
- font-variant: small-caps;
- font-style: normal;
-}
-
-.remark { font-style: italic}
-
-li.faq
-{
- margin-top: 1.5em;
- margin-bottom: 1.5em;
-}
-
-.faq-question
-{
- color: #000080;
- font-size: 100%;
- font-family: Arial, Helvetica, sans-serif;
- font-weight: normal;
- margin-bottom: 0.4em;
-}
-*/ \ No newline at end of file
diff --git a/id/server/doc/moa_id/examples/BKUSelectionTemplate.html b/id/server/doc/moa_id/examples/BKUSelectionTemplate.html
deleted file mode 100644
index 731cc36fd..000000000
--- a/id/server/doc/moa_id/examples/BKUSelectionTemplate.html
+++ /dev/null
@@ -1,41 +0,0 @@
-<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
-<html>
-<head>
-<title>MOA ID - Auswahl der B&uuuml;rgerkartenumgebung</title>
- <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
- <meta name="Author" content="Max Mustermann">
- <meta name="keywords" content="MOA-ID">
- <link rel="stylesheet" type="text/css" href="/moaid-templates/css/main.css">
- <link rel="stylesheet" type="text/css" href="/moaid-templates/css/display.css" media="screen,projection,tv,handheld">
-</head>
-
-<body>
-<img src="/moaid-templates/SampleLogo.gif" alt='Organisation XY'>
-<h1 align="center">Auswahl der B&uuml;rgerkartenumgebung</h1>
-<p></p>
-<p>Sie haben sich f&uuml;r Anmeldung mit Ihrer B&uuml;rgerkarte entschieden. Da es verschiedene Formen der B&uuml;rgerkarte gibt, m&uuml;ssen Sie nun w&auml;hlen, welche Sie bei der Anmeldung verwenden wollen.</p>
-<h3>Auswahl der B&uuml;rgerkarte</h3>
-<form name="CustomizedForm" method="post" action="<StartAuth>">
- <BKUSelect>
- <input type="submit" value="Ausw&auml;hlen"/>
-</form>
-<br/>
-<p></p>
-
- <input type="hidden" value="Weitere Info"/>
-</form>
-
-<h4>Hinweise: </h4>
-<ul>
- <li>
- <p>Wollen Sie eine A-Trust B&uuml;rgerkarte erwerben? Hier finden Sie Informationen
- dazu: <a href="http://www.a-trust.at/" target="_blank">A-Trust
- B&uuml;rgerkarte.</a> Bei der Anmeldung mit der A-Trust B&uuml;rgerkarte
- ben&ouml;tigen Sie eine funktionsf&auml;hige B&uuml;rgerkartensoftware sowie
- einen passenden Kartenleser.</p>
- </li>
-</ul>
-
-
-</body>
-</html>
diff --git a/id/server/doc/moa_id/examples/ChainingModes.txt b/id/server/doc/moa_id/examples/ChainingModes.txt
deleted file mode 100644
index 820b60d06..000000000
--- a/id/server/doc/moa_id/examples/ChainingModes.txt
+++ /dev/null
@@ -1,6 +0,0 @@
- <ChainingModes systemDefaultMode="pkix">
- <TrustAnchor mode="chaining">
- <dsig:X509IssuerName>CN=A-Trust-nQual-0,OU=A-Trust-nQual-0,O=A-Trust,C=AT</dsig:X509IssuerName>
- <dsig:X509SerialNumber>536</dsig:X509SerialNumber>
- </TrustAnchor>
- </ChainingModes>
diff --git a/id/server/doc/moa_id/examples/IdentityLinkSigners.txt b/id/server/doc/moa_id/examples/IdentityLinkSigners.txt
deleted file mode 100644
index 15269ad79..000000000
--- a/id/server/doc/moa_id/examples/IdentityLinkSigners.txt
+++ /dev/null
@@ -1,9 +0,0 @@
- <!-- Gueltige Signatoren des IdentityLink, der von der Buergerkarte gelesen wird -->
- <IdentityLinkSigners>
- <!-- Personenbindung alt (Ausgabe vor 05.2004) -->
- <X509SubjectName>CN=zmr,OU=BMI-IV-2,O=BMI,C=AT</X509SubjectName>
- <!-- Personenbindung neu (ab 05.2004, mit Stammzahl) mit Typo -->
- <X509SubjectName>T=Dr.,CN=Nikolaus Schwab,O=BM f. Inneres i.A. des gf. Mitgieds der Datenschutzkommission</X509SubjectName>
- <!-- Personenbindung neu (ab 05.2004, mit Stammzahl) jedoch ohne Typo -->
- <X509SubjectName>T=Dr.,CN=Nikolaus Schwab,O=BM f. Inneres i.A. des gf. Mitglieds der Datenschutzkommission</X509SubjectName>
- </IdentityLinkSigners> \ No newline at end of file
diff --git a/id/server/doc/moa_id/examples/LoginServletExample.txt b/id/server/doc/moa_id/examples/LoginServletExample.txt
deleted file mode 100644
index 587ef5e97..000000000
--- a/id/server/doc/moa_id/examples/LoginServletExample.txt
+++ /dev/null
@@ -1,171 +0,0 @@
-import java.io.IOException;
-import java.util.Vector;
-
-import javax.servlet.ServletException;
-import javax.servlet.http.HttpServlet;
-import javax.servlet.http.HttpServletRequest;
-import javax.servlet.http.HttpServletResponse;
-import javax.servlet.http.HttpSession;
-import javax.xml.namespace.QName;
-import javax.xml.parsers.DocumentBuilder;
-import javax.xml.parsers.DocumentBuilderFactory;
-import javax.xml.rpc.Call;
-import javax.xml.rpc.Service;
-import javax.xml.rpc.ServiceFactory;
-
-import org.apache.axis.message.SOAPBodyElement;
-import org.apache.xml.serialize.LineSeparator;
-import org.apache.xml.serialize.OutputFormat;
-import org.apache.xml.serialize.XMLSerializer;
-import org.jaxen.JaxenException;
-import org.jaxen.SimpleNamespaceContext;
-import org.jaxen.dom.DOMXPath;
-import org.w3c.dom.Attr;
-import org.w3c.dom.Document;
-import org.w3c.dom.Element;
-import org.w3c.dom.Node;
-import org.w3c.dom.NodeList;
-
-/**
- * Beispiel für ein Login-Servlet, das von MOA-ID-AUTH über einen Redirect aufgerufen wird.
- * Es werden demonstriert:
- * - Parameterübergabe von MOA-ID-AUTH
- * - Aufruf des MOA-ID-AUTH Web Service zum Abholen der Anmeldedaten über das Apache Axis Framework
- * - Parsen der Anmeldedaten mittels der XPath Engine "Jaxen"
- * - Speichern der Anmeldedaten in der HTTPSession
- * - Redirect auf die eigentliche Startseite der OA
- *
- * @author Paul Ivancsics
- */
-public class LoginServletExample extends HttpServlet {
-
- // Web Service QName und Endpoint
- private static final QName SERVICE_QNAME = new QName("GetAuthenticationData");
- private static final String ENDPOINT =
- "http://localhost:8080/moa-id-auth/services/GetAuthenticationData";
- // NamespaceContext für Jaxen
- private static SimpleNamespaceContext NS_CONTEXT;
- static {
- NS_CONTEXT = new SimpleNamespaceContext();
- NS_CONTEXT.addNamespace("saml", "urn:oasis:names:tc:SAML:1.0:assertion");
- NS_CONTEXT.addNamespace("samlp", "urn:oasis:names:tc:SAML:1.0:protocol");
- NS_CONTEXT.addNamespace("pr", "http://reference.e-government.gv.at/namespace/persondata/20020228#");
- }
-
- /**
- * Servlet wird von MOA-ID-AUTH nach erfolgter Authentisierung über ein Redirect aufgerufen.
- */
- protected void doGet(HttpServletRequest req, HttpServletResponse resp)
- throws ServletException, IOException {
-
- // Parameter "Target" und "SAMLArtifact" aus dem Redirect von MOA-ID-AUTH lesen
- String target = req.getParameter("Target");
- String samlArtifact = req.getParameter("SAMLArtifact");
-
- try {
- // DOMBuilder instanzieren
- DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
- factory.setNamespaceAware(true);
- DocumentBuilder builder = factory.newDocumentBuilder();
-
- // <samlp:Request> zusammenstellen und in einen DOM-Baum umwandeln
- String samlRequest =
- "<?xml version=\"1.0\" encoding=\"UTF-8\"?><samlp:Request IssueInstant=\"2003-01-01T00:00:00+02:00\" MajorVersion=\"1\" MinorVersion=\"0\" RequestID=\"12345678901234567890\" xmlns:samlp=\"urn:oasis:names:tc:SAML:1.0:protocol\"><samlp:AssertionArtifact>"
- + samlArtifact
- + "</samlp:AssertionArtifact></samlp:Request>";
- Document root_request = builder.parse(new ByteArrayInputStream(samlRequest.getBytes()));
-
- // Neues SOAPBodyElement anlegen und mit dem DOM-Baum füllen
- SOAPBodyElement body = new SOAPBodyElement(root_request.getDocumentElement());
- SOAPBodyElement[] params = new SOAPBodyElement[] { body };
-
- // AXIS-Service für Aufruf von MOA-ID-AUTH instanzieren
- Service service = ServiceFactory.newInstance().createService(SERVICE_QNAME);
-
- // Axis-Call erzeugen und mit Endpoint verknüpfen
- Call call = service.createCall();
- call.setTargetEndpointAddress(ENDPOINT);
-
- // Call aufrufen und die Antwort speichern
- System.out.println("Calling MOA-ID-AUTH ...");
- Vector responses = (Vector) call.invoke(params);
-
- // erstes BodyElement auslesen
- SOAPBodyElement response = (SOAPBodyElement) responses.get(0);
-
- // <samlp:Response> als DOM-Baum holen
- Document responseDocument = response.getAsDocument();
- Element samlResponse = responseDocument.getDocumentElement();
-
- // <samlp:Response> auf System.out ausgeben
- System.out.println("Response received:");
- OutputFormat format = new OutputFormat((Document) responseDocument);
- format.setLineSeparator(LineSeparator.Windows);
- format.setIndenting(true);
- format.setLineWidth(0);
- XMLSerializer serializer = new XMLSerializer(System.out, format);
- serializer.asDOMSerializer();
- serializer.serialize(responseDocument);
-
- // <samlp:StatusCode> auslesen
- Attr statusCodeAttr = (Attr)getNode(samlResponse, "/samlp:Response/samlp:Status/samlp:StatusCode/@Value");
- String samlStatusCode = statusCodeAttr.getValue();
- System.out.println("StatusCode: " + samlStatusCode);
-
- // <saml:Assertion> auslesen
- if ("samlp:Success".equals(samlStatusCode)) {
- Element samlAssertion = (Element)getNode(samlResponse, "/samlp:Response/saml:Assertion");
-
- // FamilyName aus der <saml:Assertion> parsen
- Node familyNameNode = getNode(samlAssertion, "//saml:AttributeStatement/saml:Attribute[@AttributeName=\"PersonData\"]/saml:AttributeValue/pr:Person/pr:Name/pr:FamilyName");
- String familyName = getText(familyNameNode);
- System.out.println("Family name: " + familyName);
-
- // weitere Anmeldedaten aus der <saml:Assertion> parsen
- // ...
-
- // Anmeldedaten und Target in der HTTPSession speichern
- HttpSession session = req.getSession();
- session.setAttribute("UserFamilyName", familyName);
- session.setAttribute("Geschaeftsbereich", target);
-
- // weitere Anmeldedaten in der HTTPSession speichern
- // ...
-
- // Redirect auf die eigentliche Startseite
- resp.sendRedirect("/index.jsp");
- }
- }
- catch (Exception ex) {
- ex.printStackTrace();
- }
- }
- /** Returns the first node matching an XPath expression. */
- private static Node getNode(Node contextNode, String xpathExpression) throws JaxenException {
- DOMXPath xpath = new DOMXPath(xpathExpression);
- xpath.setNamespaceContext(NS_CONTEXT);
- return (Node) xpath.selectSingleNode(contextNode);
- }
- /** Returns the text that a node contains. */
- public static String getText(Node node) {
- if (!node.hasChildNodes()) {
- return "";
- }
-
- StringBuffer result = new StringBuffer();
- NodeList list = node.getChildNodes();
- for (int i = 0; i < list.getLength(); i++) {
- Node subnode = list.item(i);
- if (subnode.getNodeType() == Node.TEXT_NODE) {
- result.append(subnode.getNodeValue());
- } else if (subnode.getNodeType() == Node.CDATA_SECTION_NODE) {
- result.append(subnode.getNodeValue());
- } else if (subnode.getNodeType() == Node.ENTITY_REFERENCE_NODE) {
- // Recurse into the subtree for text
- // (and ignore comments)
- result.append(getText(subnode));
- }
- }
- return result.toString();
- }
-}
diff --git a/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml b/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml
deleted file mode 100644
index f31730a06..000000000
--- a/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml
+++ /dev/null
@@ -1,149 +0,0 @@
-<?xml version="1.0" encoding="UTF-8"?>
-<MOA-IDConfiguration xmlns="http://www.buergerkarte.at/namespaces/moaconfig#" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" xmlns:sl10="http://www.buergerkarte.at/namespaces/securitylayer/20020225#" xmlns:sl11="http://www.buergerkarte.at/namespaces/securitylayer/20020831#">
- <!-- Konfiguration fuer MOA-ID-AUTH -->
- <AuthComponent>
- <!-- Transformationen fuer die Anzeige des AUTH-Block im Secure Viewer -->
- <SecurityLayer>
- <!-- Wählen Sie hier den deutschen oder englischen Auswahltext -->
- <TransformsInfo filename="transforms/TransformsInfoAuthBlockTable_DE.xml"/>
- <!-- <TransformsInfo filename="transforms/TransformsInfoAuthBlockTable_EN.xml"/>-->
- </SecurityLayer>
- <MOA-SP>
- <!-- URL und akzeptierte TLS-Server-Zertifikate des MOA-SP Web Service, falls MOA-SP ueber Web Service angesprochen wird.
- Wenn MOA-SP direkt ueber API aufgerufen werden soll, so wird das Element auskommentiert -->
- <!-- ConnectionParameter URL="http://localhost:8080/moa-spss/services/SignatureVerification"/ -->
- <!-- <AcceptedServerCertificates>certs/server-certs</AcceptedServerCertificates> -->
- <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> -->
- <!-- </ConnectionParameter> -->
- <!-- TrustProfile fuer den IdentityLink der Buergerkarte (muss in MOA-SP konfiguriert sein) -->
- <VerifyIdentityLink>
- <TrustProfileID>MOAIDBuergerkartePersonenbindung</TrustProfileID>
- </VerifyIdentityLink>
- <!-- TrustProfile fuer die Signatur des Benutzers mit der Buergerkarte (muss in MOA-SP konfiguriert sein) -->
- <VerifyAuthBlock>
- <TrustProfileID>MOAIDBuergerkarteAuthentisierungsDaten</TrustProfileID>
- <!-- VerifyTransformsInfoProfile mit den Transformationen fuer die Anzeige der Anmeldedaten im Secure Viewer (muss in MOA-SP konfiguriert sein) -->
- <!-- Wählen Sie hier entsprechende der Sprachauswahl im Element <SecurityLayer><TransformsInfo> das deutsche oder englische Profil -->
- <VerifyTransformsInfoProfileID>MOAIDTransformAuthBlockTable_DE</VerifyTransformsInfoProfileID>
- <!--<VerifyTransformsInfoProfileID>MOAIDTransformAuthBlockTable_EN</VerifyTransformsInfoProfileID>-->
- </VerifyAuthBlock>
- </MOA-SP>
- <VerifyInfoboxes>
- <DefaultTrustProfile>
- <TrustProfileID>GlobalVIDefaultTrust</TrustProfileID>
- </DefaultTrustProfile>
- <Infobox Identifier="InfoboxA"/>
- <Infobox Identifier="InfoboxB" required="true" provideStammzahl="true" provideIdentityLink="false">
- <FriendlyName>Beispiel Infobox B</FriendlyName>
- <TrustProfileID>GlobalInfoboxBTrust</TrustProfileID>
- <SchemaLocations>
- <Schema namespace="http://ns1.ns1" schemaLocation="schemas/ns1.xsd"/>
- <Schema namespace="http://ns2.ns2" schemaLocation="schemas/ns2.xsd"/>
- </SchemaLocations>
- <ApplicationSpecificParameters>
- <Parameter1>content1</Parameter1>
- <Parameter2>content2</Parameter2>
- <Parameter3>
- <Parameter3a>content3a</Parameter3a>
- <Parameter3b>content3b</Parameter3b>
- </Parameter3>
- </ApplicationSpecificParameters>
- </Infobox>
- </VerifyInfoboxes>
- <!-- Einstellungen für den Zugriff auf das Stammzahlenregister-Gateway - für ausländische Personen -->
- <ForeignIdentities>
- <!-- Echtsystem (Eintragung ins ERnP nur mit Echtkarten gemäß E-Government Gleichwertigkeits Verordnung) -->
- <ConnectionParameter URL="https://gateway.stammzahlenregister.gv.at/services/IdentityLinkCreation">
- <!-- Testsystem (Eintragung ins ERnP - auch für Testkarten) -->
- <!--<ConnectionParameter URL="https://gateway.stammzahlenregister.gv.at:8443/services/IdentityLinkCreation">-->
- <!-- Geben Sie hier ihren Client Keystore für den Zugriff auf das Stammzahlenregister-Gateway an -->
- <!-- Voraussetzung: A-Trust oder A-CERT Zertifikat mit Verwaltungseigenschaft oder Dienstleistereigenschaft. -->
- <!-- Wenn ihr MOA-ID Zertifikat diese Voraussetzung erfüllt, können Sie dieses hier angeben. -->
- <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> -->
- </ConnectionParameter>
- </ForeignIdentities>
- <!-- Einstellungen für den Zugriff auf das Online-Vollmachten Service -->
- <!-- <OnlineMandates> -->
- <!-- Echtsystem -->
- <!-- <ConnectionParameter URL="https://vollmachten.stammzahlenregister.gv.at/mis/MandateIssueRequest">-->
- <!-- Testsystem -->
- <!-- <ConnectionParameter URL="https://vollmachten.stammzahlenregister.gv.at/mis-test/MandateIssueRequest">-->
- <!-- Geben Sie hier ihren Client Keystore für den Zugriff auf das Online-Vollmachten System an -->
- <!-- Voraussetzung: A-Trust oder A-CERT Zertifikat mit Verwaltungseigenschaft oder Dienstleistereigenschaft. -->
- <!-- Wenn ihr MOA-ID Zertifikat diese Voraussetzung erfüllt, können Sie dieses hier angeben. -->
- <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> -->
- <!-- </ConnectionParameter> -->
- <!-- Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu aktivieren, müssen Sie das Vollmachten Profil angeben -->
- <!-- (siehe Element OnlineMandates unter MOA-IDConfiguration/AuthComponent/OnlineMandates)-->
- <!-- </OnlineMandates> -->
- </AuthComponent>
- <!-- Eintragung fuer jede Online-Applikation -->
- <!-- publicURLPrefix referenziert hier keine richtige Online Applikation; muss angepasst werden -->
- <!-- erste Online-Applikation -->
- <OnlineApplication publicURLPrefix="https://OA1/">
- <!-- fuer MOA-ID-AUTH -->
- <AuthComponent slVersion="1.2">
- <VerifyInfoboxes>
- <DefaultTrustProfile>
- <TrustProfileID>LocalOA1DefaultTrust</TrustProfileID>
- </DefaultTrustProfile>
- <!-- InfoboxB -->
- <Infobox Identifier="InfoboxB" required="true">
- <FriendlyName>Demo Infobox B</FriendlyName>
- <ValidatorClass>oa1.validate.InfoboxBValidator</ValidatorClass>
- <SchemaLocations>
- <Schema namespace="http://ns1.ns1" schemaLocation="schemas/local/ns1oa1.xsd"/>
- <Schema namespace="http://ns2.ns2" schemaLocation="schemas/local/ns2oa1.xsd"/>
- </SchemaLocations>
- </Infobox>
- <!-- InfoboxC -->
- <Infobox Identifier="InfoboxC">
- <FriendlyName>Demo Infobox C</FriendlyName>
- <TrustProfileID>LocalInfoboxOA1CTrust</TrustProfileID>
- </Infobox>
- <!-- InfoboxD -->
- <Infobox Identifier="InfoboxD"/>
- </VerifyInfoboxes>
- </AuthComponent>
- </OnlineApplication>
- <!-- zweite Online-Applikation -->
- <OnlineApplication publicURLPrefix="https://OA2/">
- <!-- fuer MOA-ID-AUTH -->
- <AuthComponent>
- <VerifyInfoboxes>
- <!-- InfoboxA -->
- <Infobox Identifier="InfoboxA">
- <TrustProfileID>LocalInfoboxOA2ATrust</TrustProfileID>
- </Infobox>
- <!-- InfoboxB -->
- <Infobox Identifier="InfoboxB"/>
- </VerifyInfoboxes>
- </AuthComponent>
- </OnlineApplication>
- <!-- dritte Online-Applikation -->
- <OnlineApplication publicURLPrefix="https://OA3/">
- <AuthComponent provideStammzahl="true"/>
- </OnlineApplication>
- <!-- ChainingModes fuer die Zertifikatspfadueberpruefung der TLS-Zertifikate -->
- <ChainingModes systemDefaultMode="pkix">
- </ChainingModes>
- <!-- fuer MOA-ID-AUTH: CA-Zertifikat des Servers MOA-SP, falls dieses Service ueber HTTPS angesprochen wird
- zusaeztlich: CA-Zertifikat aller Online-Applikationen, die ueber HTTPS angesprochen werden -->
- <TrustedCACertificates>certs/ca-certs</TrustedCACertificates>
- <!-- Cache-Verzeichnis fuer-Zertifikate -->
- <!-- Hinweis: wenn TC in linux oder unix betrieben wird vollstaendigen pfad fuer DirectoryCertStoreParameters.RootDir verwenden -->
- <GenericConfiguration name="DirectoryCertStoreParameters.RootDir" value="certs/certstore"/>
- <!-- Time-Out fuer die Anmeldung von Beginn bis zum Anlegen der Anmeldedaten, in Sekunden -->
- <GenericConfiguration name="AuthenticationSession.TimeOut" value="600"/>
- <!-- Time-Out fuer die Anmeldung vom Anlegen bis zum Abholen der Anmeldedaten, in Sekunden -->
- <GenericConfiguration name="AuthenticationData.TimeOut" value="120"/>
- <!-- Alternatives Data URL prefix (falls Webserver vorgeschaltet wird) -->
- <!--GenericConfiguration name="FrontendServlets.DataURLPrefix" value="https://<your_webserver>/moa-id-auth/"/ -->
- <!-- HTTP Verbindung auf Frontend Servlets zulassen / verbieten (falls Webserver vorgeschaltet wird) -->
- <!-- GenericConfiguration name="FrontendServlets.EnableHTTPConnection" value="true"/ -->
- <!-- URL Liste der vertrauenwürdigen Bürgekartenumgebungen -->
- <TrustedBKUs>
- <BKUURL>https://www.handy-signatur.at/mobile/https-security-layer-request/default.aspx</BKUURL>
- <BKUURL>https://www.a-trust.at/mobile/https-security-layer-request/default.aspx</BKUURL>
- </TrustedBKUs>
-</MOA-IDConfiguration>
diff --git a/id/server/doc/moa_id/examples/Template.html b/id/server/doc/moa_id/examples/Template.html
deleted file mode 100644
index 5074f5beb..000000000
--- a/id/server/doc/moa_id/examples/Template.html
+++ /dev/null
@@ -1,50 +0,0 @@
-<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
-<html>
-<head>
-<title>MOA ID - Identifizierter Zugang mit B&uuml;rgerkarte</title>
-</head>
-
-<body>
-<img src="/moaid-templates/SampleLogo.gif" alt='Organisation XY'>
-<h1 align="center">Sicherer Zugang zur Online-Anwendung mit B&uuml;rgerkarte</h1>
-<p></p>
-
-Der identifizierte Zugang erfolgt &uuml;ber die Module f&uuml;r Online Applikationen (MOA) unter Verwendung einer B&uuml;rgerkarte und deren Signaturfunktion.
-
-<p></p>
-<p>Wenn Sie in Folge die Schaltfl&auml;che "Anmeldung mit B&uuml;rgerkarte"
-aktivieren, so werden zur Signatur der Anmeldedaten aufgefordert. Wenn sie diese
-signieren, so werden sie zur Online-Anwendung weitergeleitet und angemeldet.</p>
-
-
-<form name="CustomizedForm" action="<BKU>" method="post">
-<div align="center">
-<input type="hidden"
-name="XMLRequest"
-value="<XMLRequest>"/>
-<input type="hidden"
-name="DataURL"
-value="<DataURL>"/>
-<input type="hidden"
-name="PushInfobox"
-value="<PushInfobox>"/>
-
-<input type="submit" value="Anmeldung mit B&uuml;rgerkarte" name="submit"/>
-</div>
-</form>
-<form name="CustomizedInfoForm"
-action="<BKU>"
-method="post">
-<input type="hidden"
-name="XMLRequest"
-value="<CertInfoXMLRequest>"/>
-<input type="hidden"
-name="DataURL"
-value="<CertInfoDataURL>"/>
-
-
-<input type="hidden" value="Weitere Info"/>
-</form>
-
-</body>
-</html>
diff --git a/id/server/doc/moa_id/examples/TransformsInfoAuthBlockTable_DE.xml b/id/server/doc/moa_id/examples/TransformsInfoAuthBlockTable_DE.xml
deleted file mode 100644
index 4ec0f94ae..000000000
--- a/id/server/doc/moa_id/examples/TransformsInfoAuthBlockTable_DE.xml
+++ /dev/null
@@ -1,161 +0,0 @@
-<sl10:TransformsInfo>
- <dsig:Transforms xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
- <dsig:Transform Algorithm="http://www.w3.org/TR/1999/REC-xslt-19991116">
- <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:saml="urn:oasis:names:tc:SAML:1.0:assertion" xmlns:pr="http://reference.e-government.gv.at/namespace/persondata/20020228#" exclude-result-prefixes="pr saml">
- <xsl:output method="xml" xml:space="default"/>
- <xsl:template match="/" xmlns="http://www.w3.org/1999/xhtml">
- <html>
- <head>
- <title>Signatur der Anmeldedaten</title>
- <style type="text/css" media="screen">
- .normalstyle { font-size: medium; }
- .italicstyle { font-size: medium; font-style: italic; }
- .titlestyle{ text-decoration:underline; font-weight:bold; font-size: medium; }
- .h4style{ font-size: large; }
- </style>
- </head>
- <body>
- <h4 class="h4style">Anmeldedaten:</h4>
- <p class="titlestyle">Daten zur Person</p>
- <table class="parameters">
- <xsl:if test="normalize-space(//@Issuer)">
- <tr>
- <td class="italicstyle">Name:</td>
- <td class="normalstyle">
- <xsl:value-of select="//@Issuer"/>
- </td>
- </tr>
- </xsl:if>
- <xsl:if test="string(//saml:Attribute[@AttributeName='Geburtsdatum']/saml:AttributeValue)">
- <tr>
- <td class="italicstyle">Geburtsdatum:</td>
- <td class="normalstyle">
- <xsl:value-of select="substring(//saml:Attribute[@AttributeName='Geburtsdatum']/saml:AttributeValue,9,2)"/>
- <xsl:text>.</xsl:text>
- <xsl:value-of select="substring(//saml:Attribute[@AttributeName='Geburtsdatum']/saml:AttributeValue,6,2)"/>
- <xsl:text>.</xsl:text>
- <xsl:value-of select="substring(//saml:Attribute[@AttributeName='Geburtsdatum']/saml:AttributeValue,1,4)"/>
- </td>
- </tr>
- </xsl:if>
- <xsl:if test="//saml:Attribute[@AttributeName='OIDTextualDescription']">
- <tr>
- <td class="italicstyle">Rolle:</td>
- <td class="normalstyle">
- <xsl:value-of select="//saml:Attribute[@AttributeName='OIDTextualDescription']/saml:AttributeValue"/>
- </td>
- </tr>
- </xsl:if>
- <xsl:if test="//saml:Attribute[@AttributeName='mandateReferenceValue']">
- <tr>
- <td class="italicstyle">Vollmacht:</td>
- <td class="normalstyle">
- <xsl:text>Ich melde mich in Vertretung an. Im nächsten Schritt wird mir eine Liste der für mich verfügbaren Vertretungsverhältnisse angezeigt, aus denen ich eines auswählen werde.</xsl:text>
- </td>
- </tr>
- </xsl:if>
- </table>
- <p class="titlestyle">Daten zur Anwendung</p>
- <table class="parameters">
- <tr>
- <td class="italicstyle">Name:</td>
- <td class="normalstyle">
- <xsl:value-of select="//saml:Attribute[@AttributeName='oaFriendlyName']/saml:AttributeValue"/>
- </td>
- </tr>
- <tr>
- <td class="italicstyle">Staat:</td>
- <td class="normalstyle">Österreich</td>
- </tr>
- </table>
- <p class="titlestyle">Technische Parameter</p>
- <table class="parameters">
- <tr>
- <td class="italicstyle">URL:</td>
- <td class="normalstyle">
- <xsl:value-of select="//saml:Attribute[@AttributeName='OA']/saml:AttributeValue"/>
- </td>
- </tr>
- <xsl:if test="//saml:Attribute[@AttributeName='Geschaeftsbereich']">
- <tr>
- <td class="italicstyle">Bereich:</td>
- <td class="normalstyle">
- <xsl:value-of select="//saml:Attribute[@AttributeName='Geschaeftsbereich']/saml:AttributeValue"/>
- </td>
- </tr>
- </xsl:if>
- <xsl:if test="//saml:Attribute[@AttributeName='mandateReferenceValue']">
- <tr>
- <td class="italicstyle">
- Vollmachten-Referenz:</td>
- <td class="normalstyle">
- <xsl:value-of select="//saml:Attribute[@AttributeName='mandateReferenceValue']"/>
- </td>
- </tr>
- </xsl:if>
- <xsl:if test="//saml:Attribute[@AttributeName='IdentityLinkDomainIdentifierType']">
- <tr>
- <td class="italicstyle">
- <xsl:value-of select="//saml:Attribute[@AttributeName='IdentityLinkDomainIdentifierType']"/>:</td>
- <td class="normalstyle">
- <xsl:value-of select="//saml:Attribute[@AttributeName='wbPK']/saml:AttributeValue/pr:Identification/pr:Type"/>
- </td>
- </tr>
- </xsl:if>
- <xsl:if test="//saml:Attribute[@AttributeName='bPK'] or //saml:Attribute[@AttributeName='wbPK']">
- <tr>
- <td class="italicstyle">Identifikator:</td>
- <td class="normalstyle">
- <xsl:value-of select="//saml:Attribute[@AttributeName='bPK']/saml:AttributeValue/pr:Identification/pr:Value"/>
- <xsl:value-of select="//saml:Attribute[@AttributeName='wbPK']/saml:AttributeValue/pr:Identification/pr:Value"/>
- </td>
- </tr>
- </xsl:if>
- <xsl:if test="//saml:Attribute[@AttributeName='OIDTextualDescription']">
- <tr>
- <td class="italicstyle">OID:</td>
- <td class="normalstyle">
- <xsl:value-of select="//saml:Attribute[@AttributeName='OID']/saml:AttributeValue"/>
- </td>
- </tr>
- </xsl:if>
- <xsl:if test="//saml:Attribute[@AttributeName='HPI']">
- <tr>
- <td class="italicstyle">HPI:</td>
- <td class="normalstyle">
- <xsl:value-of select="//saml:Attribute[@AttributeName='HPI']/saml:AttributeValue"/>
- </td>
- </tr>
- </xsl:if>
- <tr>
- <td class="italicstyle">Datum:</td>
- <td class="normalstyle">
- <xsl:value-of select="substring(//@IssueInstant,9,2)"/>
- <xsl:text>.</xsl:text>
- <xsl:value-of select="substring(//@IssueInstant,6,2)"/>
- <xsl:text>.</xsl:text>
- <xsl:value-of select="substring(//@IssueInstant,1,4)"/>
- </td>
- </tr>
- <tr>
- <td class="italicstyle">Uhrzeit:</td>
- <td class="normalstyle">
- <xsl:value-of select="substring(//@IssueInstant,12,2)"/>
- <xsl:text>:</xsl:text>
- <xsl:value-of select="substring(//@IssueInstant,15,2)"/>
- <xsl:text>:</xsl:text>
- <xsl:value-of select="substring(//@IssueInstant,18,2)"/>
- </td>
- </tr>
- </table>
- </body>
- </html>
- </xsl:template>
- </xsl:stylesheet>
- </dsig:Transform>
- <dsig:Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments"/>
- </dsig:Transforms>
- <sl10:FinalDataMetaInfo>
- <sl10:MimeType>application/xhtml+xml</sl10:MimeType>
- </sl10:FinalDataMetaInfo>
-</sl10:TransformsInfo>
diff --git a/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml b/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml
deleted file mode 100644
index 2cdc61653..000000000
--- a/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml
+++ /dev/null
@@ -1,118 +0,0 @@
-<?xml version="1.0" encoding="UTF-8"?>
-<MOA-IDConfiguration xmlns="http://www.buergerkarte.at/namespaces/moaconfig#" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" xmlns:sl10="http://www.buergerkarte.at/namespaces/securitylayer/20020225#" xmlns:sl11="http://www.buergerkarte.at/namespaces/securitylayer/20020831#">
- <!-- Konfiguration fuer MOA-ID-AUTH -->
- <AuthComponent>
- <!-- Transformationen fuer die Anzeige des AUTH-Block im Secure Viewer -->
- <SecurityLayer>
- <!-- Wählen Sie hier den deutschen oder englischen Auswahltext -->
- <TransformsInfo filename="transforms/TransformsInfoAuthBlockTable_DE.xml"/>
- <!-- <TransformsInfo filename="transforms/TransformsInfoAuthBlockTable_EN.xml"/>-->
- </SecurityLayer>
- <MOA-SP>
- <!-- URL und akzeptierte TLS-Server-Zertifikate des MOA-SP Web Service, falls MOA-SP ueber Web Service angesprochen wird.
- Wenn MOA-SP direkt ueber API aufgerufen werden soll, so wird das Element auskommentiert -->
- <!-- ConnectionParameter URL="http://localhost:8080/moa-spss/services/SignatureVerification"/ -->
- <!-- <AcceptedServerCertificates>certs/server-certs</AcceptedServerCertificates> -->
- <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> -->
- <!-- </ConnectionParameter> -->
- <!-- TrustProfile fuer den IdentityLink der Buergerkarte (muss in MOA-SP konfiguriert sein) -->
- <VerifyIdentityLink>
- <TrustProfileID>MOAIDBuergerkartePersonenbindung</TrustProfileID>
- </VerifyIdentityLink>
- <!-- TrustProfile fuer die Signatur des Benutzers mit der Buergerkarte (muss in MOA-SP konfiguriert sein) -->
- <VerifyAuthBlock>
- <TrustProfileID>MOAIDBuergerkarteAuthentisierungsDaten</TrustProfileID>
- <!-- VerifyTransformsInfoProfile mit den Transformationen fuer die Anzeige der Anmeldedaten im Secure Viewer (muss in MOA-SP konfiguriert sein) -->
- <!-- Wählen Sie hier entsprechende der Sprachauswahl im Element <SecurityLayer><TransformsInfo> das deutsche oder englische Profil -->
- <VerifyTransformsInfoProfileID>MOAIDTransformAuthBlockTable_DE</VerifyTransformsInfoProfileID>
- <!--<VerifyTransformsInfoProfileID>MOAIDTransformAuthBlockTable_EN</VerifyTransformsInfoProfileID>-->
- </VerifyAuthBlock>
- </MOA-SP>
- <!-- Einstellungen für den Zugriff auf das Stammzahlenregister-Gateway - für ausländische Personen -->
- <ForeignIdentities>
- <!-- Echtsystem (Eintragung ins ERnP nur mit Echtkarten gemäß E-Government Gleichwertigkeits Verordnung) -->
- <ConnectionParameter URL="https://gateway.stammzahlenregister.gv.at/services/IdentityLinkCreation">
- <!-- Testsystem (Eintragung ins ERnP - auch für Testkarten) -->
- <!--<ConnectionParameter URL="https://gateway.stammzahlenregister.gv.at:8443/services/IdentityLinkCreation">-->
- <!-- Geben Sie hier ihren Client Keystore für den Zugriff auf das Stammzahlenregister-Gateway an -->
- <!-- Voraussetzung: A-Trust oder A-CERT Zertifikat mit Verwaltungseigenschaft oder Dienstleistereigenschaft. -->
- <!-- Wenn ihr MOA-ID Zertifikat diese Voraussetzung erfüllt, können Sie dieses hier angeben. -->
- <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> -->
- </ConnectionParameter>
- </ForeignIdentities>
- <!-- Einstellungen für den Zugriff auf das Online-Vollmachten Service -->
- <!-- <OnlineMandates> -->
- <!-- Echtsystem -->
- <!-- <ConnectionParameter URL="https://vollmachten.stammzahlenregister.gv.at/mis/MandateIssueRequest">-->
- <!-- Testsystem -->
- <!-- <ConnectionParameter URL="https://vollmachten.stammzahlenregister.gv.at/mis-test/MandateIssueRequest">-->
- <!-- Geben Sie hier ihren Client Keystore für den Zugriff auf das Online-Vollmachten System an -->
- <!-- Voraussetzung: A-Trust oder A-CERT Zertifikat mit Verwaltungseigenschaft oder Dienstleistereigenschaft. -->
- <!-- Wenn ihr MOA-ID Zertifikat diese Voraussetzung erfüllt, können Sie dieses hier angeben. -->
- <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> -->
- <!-- </ConnectionParameter> -->
- <!-- Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu aktivieren, müssen Sie das Vollmachten Profil angeben -->
- <!-- (siehe Element OnlineMandates unter MOA-IDConfiguration/AuthComponent/OnlineMandates)-->
- <!-- </OnlineMandates> -->
- </AuthComponent>
-
- <!-- Konfiguration fuer MOA-ID-PROXY -->
- <ProxyComponent>
- <!-- URL und akzeptierte TLS-Server-Zertifikate des MOA-ID-AUTH Web Service -->
- <AuthComponent>
- <ConnectionParameter URL="http://localhost:8080/moa-id-auth/services/GetAuthenticationData">
- <!-- <AcceptedServerCertificates>certs/server-certs</AcceptedServerCertificates> -->
- <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> -->
- </ConnectionParameter>
- </AuthComponent>
- </ProxyComponent>
-
- <!-- Eintragung fuer jede Online-Applikation -->
- <!-- Demo Online-Applikation: Zugriff auf www.digitales.oesterreich.gv.at ueber MOA-ID-PROXY -->
- <OnlineApplication publicURLPrefix="https://localhost:8443/">
- <!-- fuer MOA-ID-AUTH -->
- <AuthComponent>
- <!-- Spezifikation der Stammzahl des Wirtschaftsunternehmens bei type = "businessService" -->
- <!-- <IdentificationNumber> -->
- <!-- Beispiel Firmenbuchnummer -->
- <!-- <pr:Firmenbuchnummer xmlns:pr="http://reference.e-government.gv.at/namespace/persondata/20020228#">468924i</pr:Firmenbuchnummer> -->
- <!-- </IdentificationNumber> -->
- </AuthComponent>
- <!-- fuer MOA-ID-PROXY -->
- <ProxyComponent configFileURL="oa/SampleOAConfiguration.xml" sessionTimeOut="600">
- <!-- <ProxyComponent configFileURL="oa/SampleOAConfiguration.xml" sessionTimeOut="600" loginParameterResolverImpl="at.gv.egovernment.moa.id.proxy.DefaultLoginParameterResolver" loginParameterResolverConfiguration="" connectionBuilderImpl="at.gv.egovernment.moa.id.proxy.DefaultConnectionBuilder"> -->
- <!-- URL und akzeptierte TLS-Server-Zertifikate der Online-Applikation -->
- <ConnectionParameter URL="http://www.digitales.oesterreich.gv.at/">
- <!-- <AcceptedServerCertificates>certs/server-certs</AcceptedServerCertificates> -->
- <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> -->
- </ConnectionParameter>
- </ProxyComponent>
- </OnlineApplication>
-
- <!-- ChainingModes fuer die Zertifikatspfadueberpruefung der TLS-Zertifikate -->
- <ChainingModes systemDefaultMode="pkix">
- </ChainingModes>
-
- <!-- fuer MOA-ID-AUTH: CA-Zertifikat des Servers MOA-SP, falls dieses Service ueber HTTPS angesprochen wird
- fuer MOA-ID-PROXY: CA-Zertifikat des Servers MOA-ID-AUTH, falls dieses Service ueber HTTPS angesprochen wird
- zusaeztlich: CA-Zertifikat aller Online-Applikationen, die ueber HTTPS angesprochen werden -->
- <TrustedCACertificates>certs/ca-certs</TrustedCACertificates>
-
- <!-- Cache-Verzeichnis fuer-Zertifikate -->
- <!-- Hinweis: wenn TC in linux oder unix betrieben wird vollstaendigen pfad fuer DirectoryCertStoreParameters.RootDir verwenden -->
- <GenericConfiguration name="DirectoryCertStoreParameters.RootDir" value="certs/certstore"/>
- <!-- Time-Out fuer die Anmeldung von Beginn bis zum Anlegen der Anmeldedaten, in Sekunden -->
- <GenericConfiguration name="AuthenticationSession.TimeOut" value="600"/>
- <!-- Time-Out fuer die Anmeldung vom Anlegen bis zum Abholen der Anmeldedaten, in Sekunden -->
- <GenericConfiguration name="AuthenticationData.TimeOut" value="120"/>
-
- <!-- Alternatives Data URL prefix (falls Webserver vorgeschaltet wird) -->
- <!--GenericConfiguration name="FrontendServlets.DataURLPrefix" value="https://<your_webserver>/moa-id-auth/"/ -->
- <!-- HTTP Verbindung auf Frontend Servlets zulassen / verbieten (falls Webserver vorgeschaltet wird) -->
- <!-- GenericConfiguration name="FrontendServlets.EnableHTTPConnection" value="true"/ -->
- <!-- URL Liste der vertrauenwürdigen Bürgekartenumgebungen -->
- <TrustedBKUs>
- <BKUURL>https://www.handy-signatur.at/mobile/https-security-layer-request/default.aspx</BKUURL>
- <BKUURL>https://www.a-trust.at/mobile/https-security-layer-request/default.aspx</BKUURL>
- </TrustedBKUs>
-</MOA-IDConfiguration>
diff --git a/id/server/doc/moa_id/examples/conf/OAConfBasicAuth.xml b/id/server/doc/moa_id/examples/conf/OAConfBasicAuth.xml
deleted file mode 100644
index fc99cea79..000000000
--- a/id/server/doc/moa_id/examples/conf/OAConfBasicAuth.xml
+++ /dev/null
@@ -1,9 +0,0 @@
-<?xml version="1.0" encoding="UTF-8"?>
-<!-- Demokonfiguration fuer eine Online Applikation (OA) welche 401 Basic Authentication zur Uebergabe der Parameter verwendet -->
-<Configuration xmlns="http://www.buergerkarte.at/namespaces/moaconfig#" xmlns:sl10="http://www.buergerkarte.at/namespaces/securitylayer/20020225#" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
- <LoginType>stateless</LoginType>
- <BasicAuth>
- <UserID>MOAFamilyName</UserID>
- <Password>MOAGivenName</Password>
- </BasicAuth>
-</Configuration>
diff --git a/id/server/doc/moa_id/examples/conf/OAConfHeaderAuth.xml b/id/server/doc/moa_id/examples/conf/OAConfHeaderAuth.xml
deleted file mode 100644
index 4d34c3646..000000000
--- a/id/server/doc/moa_id/examples/conf/OAConfHeaderAuth.xml
+++ /dev/null
@@ -1,10 +0,0 @@
-<?xml version="1.0" encoding="UTF-8"?>
-<!-- Demokonfiguration fuer eine Online Applikation (OA) welche Header Authentication zur Uebergabe der Parameter verwendet -->
-<Configuration xmlns="http://www.buergerkarte.at/namespaces/moaconfig#" xmlns:sl10="http://www.buergerkarte.at/namespaces/securitylayer/20020225#" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
- <LoginType>stateless</LoginType>
- <HeaderAuth>
- <!-- zusaetzlicher Header GivenName -->
- <Header Name="X-MOAParameterGivenName" Value="MOAGivenName"></Header>
- <Header Name="X-MOAParameterFamilyName" Value="MOAFamilyName"></Header>
- </HeaderAuth>
-</Configuration>
diff --git a/id/server/doc/moa_id/examples/conf/OAConfParamAuth.xml b/id/server/doc/moa_id/examples/conf/OAConfParamAuth.xml
deleted file mode 100644
index 979faca95..000000000
--- a/id/server/doc/moa_id/examples/conf/OAConfParamAuth.xml
+++ /dev/null
@@ -1,10 +0,0 @@
-<?xml version="1.0" encoding="UTF-8"?>
-<!-- Demokonfiguration fuer eine Online Applikation (OA) welche Parameter Authentication verwendet -->
-<Configuration xmlns="http://www.buergerkarte.at/namespaces/moaconfig#" xmlns:sl10="http://www.buergerkarte.at/namespaces/securitylayer/20020225#" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
- <LoginType>stateless</LoginType>
- <ParamAuth>
- <!-- URL Parameter GivenName und FamilyName -->
- <Parameter Name="GivenName" Value="MOAGivenName"></Parameter>
- <Parameter Name="FamilyName" Value="MOAFamilyName"></Parameter>
- </ParamAuth>
-</Configuration>
diff --git a/id/server/doc/moa_id/examples/moa-id-env.sh.txt b/id/server/doc/moa_id/examples/moa-id-env.sh.txt
deleted file mode 100644
index 466b2762e..000000000
--- a/id/server/doc/moa_id/examples/moa-id-env.sh.txt
+++ /dev/null
@@ -1,15 +0,0 @@
-rem insert Tomcat 4.1.x home directory (no trailing path separator)
-set CATALINA_HOME=<Tomcat home directory>
-
-CONFIG_OPT_SPSS=-Dmoa.spss.server.configuration=$CATALINA_HOME/conf/moa-spss/SampleMOASPSSConfiguration.xml
-CONFIG_OPT_ID=-Dmoa.id.configuration=$CATALINA_HOME/conf/moa-id/SampleMOAIDConfiguration.xml
-
-
-LOGGING_OPT=-Dlog4j.configuration=file:$CATALINA_HOME/conf/moa-id/log4j.properties
-# TRUST_STORE_OPT=-Djavax.net.ssl.trustStore=truststore.jks
-# TRUST_STORE_PASS_OPT=-Djavax.net.ssl.trustStorePassword=changeit
-# TRUST_STORE_TYPE_OPT=-Djavax.net.ssl.trustStoreType=jks
-
-export CATALINA_OPTS="$CONFIG_OPT_SPSS $CONFIG_OPT_ID $LOGGING_OPT $TRUST_STORE_OPT $TRUST_STORE_PASS_OPT $TRUST_STORE_TYPE_OPT"
-echo CATALINA_OPTS=$CATALINA_OPTS
-
diff --git a/id/server/doc/moa_id/examples/startTomcat.bat.txt b/id/server/doc/moa_id/examples/startTomcat.bat.txt
deleted file mode 100644
index 29588120c..000000000
--- a/id/server/doc/moa_id/examples/startTomcat.bat.txt
+++ /dev/null
@@ -1,26 +0,0 @@
-rem ----------------------------------------------------------------------------------------------
-rem Modify these entries according to your needs
-
-rem JDK home directory (no trailing path separator)
-set JAVA_HOME=<jdk home directory>
-
-rem Tomcat 4.1.x home directory (no trailing path separator)
-set CATALINA_HOME=<Tomcat 4.1.x home directory>
-
-rem ----------------------------------------------------------------------------------------------
-
-set CONFIG_OPT_SPSS=-Dmoa.spss.server.configuration=%CATALINA_HOME%/conf/moa-spss/SampleMOASPSSConfiguration.xml
-set CONFIG_OPT_ID=-Dmoa.id.configuration=%CATALINA_HOME%/conf/moa-id/SampleMOAIDConfiguration.xml
-set LOGGING_OPT=-Dlog4j.configuration=file:%CATALINA_HOME%/conf/moa-id/log4j.properties
-
-set PARAMS_MOA=%CONFIG_OPT_SPSS% %CONFIG_OPT_ID% %LOGGING_OPT%
-
-rem set PARAM_TRUST_STORE=-Djavax.net.ssl.trustStore=truststore.jks
-rem set PARAM_TRUST_STORE_PASS=-Djavax.net.ssl.trustStorePassword=changeit
-rem set PARAM_TRUST_STORE_TYPE=-Djavax.net.ssl.trustStoreType=jks
-rem set PARAMS_SSL=%PARAM_TRUST_STORE% %PARAM_TRUST_STORE_PASS% %PARAM_TRUST_STORE_TYPE%
-
-set CATALINA_OPTS=%PARAMS_MOA% %PARAMS_SSL%
-
-cd %CATALINA_HOME%
-bin\catalina.bat start \ No newline at end of file
diff --git a/id/server/doc/moa_id/faqs.htm b/id/server/doc/moa_id/faqs.htm
deleted file mode 100644
index 5752f1123..000000000
--- a/id/server/doc/moa_id/faqs.htm
+++ /dev/null
@@ -1,147 +0,0 @@
-<html>
-<head>
- <title>MOA-ID FAQs</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
-<link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
-<p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
- <p class="subtitle">FAQ - H&auml;ufig gestellte Fragen </p>
- <hr/>
-
-
- <dl>
- <dt>
- <!-- Projekt-Logo -->
- </dt>
- <p><b><a href="#frage1">Frage</a><a href="#frage4">&nbsp;</a><a href="#frage1">1</a></b> Mit dem Internet Explorer kommt es bei einer Anmeldung an der lokal
- installierten Version von MOA-ID zu Fehlern beim Redirect. Warum?</p>
- <p> <b><a href="#frage2">Frage</a><a href="#frage4">&nbsp;</a><a href="#frage2">2</a></b> Wenn die Proxy-Komponente lokal l&auml;uft und per TLS/SSL aufgerufen
- wird, kommt es zu einer Fehlermeldung. Wie kann dies verhindert werden?</p>
- <p><b><a href="#frage3">Frage</a><a href="#frage4">&nbsp;</a><a href="#frage3">3</a></b> Es soll serverseitig lediglich starke TLS/SSL Verschl&uuml;sselung (&gt;100
- Bit) unterst&uuml;tzt werden. Wie kann dies erzwungen werden?</p>
- <p><b><a href="#frage4">Frage&nbsp;4 </a></b>Beim Starten von
- MOA ID bzw. MOA SPSS tritt folgende Exception auf: <tt>java.lang.ClassCastException:
- iaik.asn1.structures.Name</tt>. Was kann der Fehler sein?<b><a href="#frage3"></a></b></p>
- <p><b><a href="#frage5">Frage&nbsp;5</a></b> Ich m&ouml;chte
- MOA in einer Umgebung betreiben, die einen Internet-Zugang nur &uuml;ber
- einen Proxy erlaubt. Funktioniert das?</p>
- <p><b><a href="#frage6">Frage&nbsp;6</a></b> Tomcat: W&auml;rend
- des Betriebs kommt es zu org.apache.commons.logging.LogConfigurationException.
- Wie kann dies verhindert werden?</p>
- <hr>
- <p></p>
- <p><a name="frage1"></a><b>Frage 1</b></p>
- <p><b>Q: </b>Mit dem Internet Explorer kommt es bei einer Anmeldung
- an der lokal installierten Version von MOA-ID zu Fehlern beim Redirect.
- Warum?</p>
- <p><b>A:</b> Aufgrund eines Fehlers in Microsofts Internet
- Explorer schl&auml;gt der (lokale) Redirect auf dem lokal installierten
- Tomcat fehl.</p>
- <p> Als Workaround empfiehlt es sich, zum lokalen Testen einen
- alternativen Browser wie <a href="http://www.opera.com/">Opera</a>, <a href="http://www.mozilla.org/">Mozilla</a> oder <a href="http://www.netscape.org/">Netscape</a> zu verwenden, da diese Probleme dort nicht auftreten. Von einem anderen
- Rechner aus kann jedoch die Anmeldung an MOA-ID auch mit dem Internet
- Explorer erfolgen. </p>
- <hr />
- <p><a name="frage2"></a><b>Frage 2</b></p>
- <p> <b>Q: </b>Wenn die Proxy-Komponente lokal l&auml;uft und
- per TLS/SSL aufgerufen wird, kommt es zu einer Fehlermeldung. Wie kann
- dies verhindert werden?</p>
- <p> <b>A:</b> Wenn in der Konfiguration statt 'localhost' der
- eigene Rechnername verwendet wird, funktioniert die Proxy-Komponente
- wie gewohnt.<br>
- <br />
- Zum Herausfinden des Rechnernamens wechselt man unter Windows auf die
- Kommandozeile und kann mittels 'ipconfig /all' den Rechnernamen herausfinden.
- Unix/Linux-Anwender sehen bspw. mittels 'cat' in der Datei /etc/hosts
- nach, der Texteintrag hinter der eigenen IP-Adresse spezifiziert den
- Rechnernamen. </p>
- <hr />
- <p><a name="frage3"></a><b>Frage 3</b></p>
- <p> <b>Q: </b>Es soll serverseitig lediglich starke TLS/SSL
- Verschl&uuml;sselung (&gt;100 Bit) unterst&uuml;tzt werden. Wie kann
- dies erzwungen werden?</p>
- <p> <b>A: </b>Tomcat bietet (bis dato) keine einfache M&ouml;glichkeit
- die serverseitig verwendeten TLS/SSL Verschl&uuml;sselungsalgorithmen
- zu konfigurieren. Daher empfiehlt es sich in diesem Fall, einen Web-Server
- wie Apache oder den Microsoft Internet-Information-Server f&uuml;r das
- SSL-Handling vorzuschalten und dort in der jeweiligen Konfiguration
- starke Verschl&uuml;sselung zu erzwingen.<b> </b></p>
- <hr />
- <p><b><a name="frage4"></a><b>Frage 4</b></b></p>
-Q: Beim Starten von MOA SPSS tritt folgende Exception auf: <tt>java.lang.ClassCastException:
- iaik.asn1.structures.Name</tt>. Was kann der Fehler sein?
- <p> <b>A:</b> Auf Grund einer mangelhaften Implementierung
- in einigen Versionen des JDK 1.3.1 kann es beim Betrieb von MOA zu folgendem
- Problem kommen: Sun macht in der Implementierung von PKCS7.getCertificate()
- einen Downcast vom Interface java.security.Principal auf die eigene
- Implementierung, was zu einer ClassCastException f&uuml;hrt, wenn der JCE-Provider
- von Sun nicht an erster Stelle in der List der Security-Provider installiert
- ist. MOA geht nun aber so vor, dass der JCE-Provider des IAIK an die
- erste Stelle installiert wird, wenn er zum Zeitpunkt der Konfiguration
- noch nicht installiert war. Wird dann von irgendeinem ClassLoader der
- jar-Verifier ben&uuml;tzt, wird PKCS7.getCertificate() verwendet, und
- es kommt zu einer ClassCastException. </p>
- <p> Wird MOA &uuml;ber die API-Schnittstelle verwendet, ist ein
- Workaround die manuelle Installation des IAIK-JCE-Providers nach dem
- Sun JCE-Provider (etwa an die letzte Stelle), bevor die MOA-Konfiguration
- aufgerufen wird. Bei Verwendung der Webservices ist die M&ouml;glichkeit
- der statischen Konfiguration der JCE-Provider mittels Angabe in der
- Datei $JAVA_HOME/jre/lib/security/java.security der einzige bekannte
- Workaround. Hierzu m&uuml;ssen die Eintr&auml;ge
- <pre>
- security.provider.1=sun.security.provider.Sun
- security.provider.2=com.sun.rsajca.Provider
- </pre>
-durch folgenden Eintrag erg&auml;nzt werden:
-<pre>
- security.provider.3=iaik.security.provider.IAIK
-</pre>
-<p></p>
-<hr />
-<p><a name="frage5"></a><b>Frage 5</b></p>
- <p><b>Q: </b>Ich m&ouml;chte MOA in einer Umgebung betreiben,
- die einen Internet-Zugang nur &uuml;ber einen Proxy erlaubt. Funktioniert
- das?</p>
- <p> <b>A:</b> Ja, zumindest f&uuml;r Zugriffe &uuml;ber HTTP.
- Sie m&uuml;ssen dazu die nachfolgenden JAVA System-Properties setzen:</p>
- <blockquote>
- <p><tt>http.proxyHost=&lt;proxyhost&gt;<br>
- http.proxyPort=&lt;proxyport&gt;<br>
- http.nonProxyHosts=&quot;&lt;exceptionhosts&gt;&quot;</tt></p>
- </blockquote>
- <p><tt>&lt;proxyhost&gt;</tt> gibt den Namen oder die IP-Adresse des
- Proxies an.</p>
- <p><tt>&lt;proxyport&gt;</tt> gibt den Port des Proxies an.</p>
- <p><tt>&lt;exceptionhosts&gt;</tt> enth&auml;lt eine Liste von Rechnernamen,
- die nicht &uuml;ber den Proxy laufen sollen. Jedenfalls m&uuml;ssen
- sie hier <tt>localhost</tt> angeben. Einzelne Namen sind durch eine
- Pipe (<tt>|</tt>) zu trennen. Bitte beachten Sie, dass IP-Addressen
- nicht angegeben werden d&uuml;rfen, sowie die verpflichtend zu verwendenen
- Anf&uuml;hrungszeichen.</p>
-<hr />
-<p><a name="frage6"><b>Frage 6</b></a></p>
-<p><b>Q:</b> Tomcat: W&auml;rend des Betriebs kommt es zu org.apache.commons.logging.LogConfigurationException.
- Wie kann dies verhindert werden?</p>
-<p>org.apache.commons.logging.LogConfigurationException: org.apache.commons.logging.LogConfigurationException:
- org.apache.commons.logging.LogConfigurationException<br>
- : Class org.apache.commons.logging.impl.Jdk14Logger does not implement
- Log</p>
-<p><b>A:</b> Dies ist ein Fehler in tomcat in der Version 4.1.27. $CATALINA_HOME\server\lib\tomcat-util.jar muss gegen eine
- gepatchte Version ausgetauscht werden, da ein BUG in der Originalversion
- von tomcat 4.1.27. Diese gepatchte Version ist in der MOA-ID Distribution
- im Verzeichnis $MOA_ID_INST_AUTH\tomcat\tomcat-util-4.1.27-patched\
- zu finden.
-<br />
-</p>
-</body>
-</html>
diff --git a/id/server/doc/moa_id/id-admin.htm b/id/server/doc/moa_id/id-admin.htm
deleted file mode 100644
index 56bb80dc8..000000000
--- a/id/server/doc/moa_id/id-admin.htm
+++ /dev/null
@@ -1,33 +0,0 @@
-<html>
-<head>
- <title>MOA-ID Administration</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
- <link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
- <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
- <p class="subtitle">Administration </p>
- <hr/>
- <dl>
- <dt><a href="id-admin_0.htm">&Uuml;berblick</a></dt>
- <dd>&Uuml;berblick &uuml;ber die Installation, Konfiguration und optionale Komponenten.</dd>
- <dt><a href="id-admin_1.htm">Basis-Installation</a></dt>
- <dd>Detaillierte Anleitung f&uuml;r die BasisInstallation.</dd>
- <dt><a href="id-admin_2.htm">Konfiguration</a></dt>
- <dd>Detaillierte Anleitung f&uuml;r die Konfiguration.</dd>
- <dt><a href="id-admin_3.htm">Optionale Komponenten</a></dt>
- <dd>Konfiguration optionaler Komponenten. </dd>
- </dl>
-
- <hr/>
-</body>
-</html>
diff --git a/id/server/doc/moa_id/id-admin_0.htm b/id/server/doc/moa_id/id-admin_0.htm
deleted file mode 100644
index e7c0ba886..000000000
--- a/id/server/doc/moa_id/id-admin_0.htm
+++ /dev/null
@@ -1,175 +0,0 @@
-<html>
-<head>
- <title>MOA ID-Administration</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
- <link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
- <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
- <p class="subtitle">Administration-&Uuml;berblick</p>
- <hr/>
-<h1>Inhalt</h1>
- <ol>
- <li>
- <p><a href="#uebersicht">&Uuml;bersicht</a></p>
- </li>
- <li>
- <p><a href="#basisauth">Basis-Installation von MOA-ID-AUTH</a></p>
- </li>
- <li>
- <p><a href="#basisproxy">Basis-Installation von MOA-ID-PROXY</a></p>
- </li>
- <li>
- <p><a href="#webserver">Konfiguration mit vorgeschaltetem Webserver (optional)</a></p>
- </li>
- <li>
- <p><a href="#sql">Konfiguration mit PostgreSQL (optional)</a></p>
- </li>
- <li>
- <p><a href="#software">Referenzierte Software</a></p>
- </li>
-</ol>
- <hr/>
-<h1><a name="uebersicht" id="uebersicht"></a>1 &Uuml;bersicht</h1>
-
- <p>Die Komponenten des Moduls Identifikation (MOA-ID), MOA-ID-AUTH und MOA-ID-PROXY, sind als plattformunabh&auml;ngige Webapplikationen ausgelegt.
-MOA-ID-AUTH ist die Basiskomponente des Moduls, und MOA-ID-PROXY ist eine optionale Zusatzkomponente.
-F&uuml;r den Betrieb dieser Webapplikationen wird eine Java Virtual Machine und ein Java Servlet Container vorausgesetzt.
-<p>
-F&uuml;r den Betrieb von MOA-ID-AUTH sind unterschiedliche Szenarien m&ouml;glich, die unterschiedliche M&ouml;glichkeiten bieten und die Installation unterschiedlicher Software- und Hardware-Komponenten erfordern. Dieser Abschnitt gibt einen kurzen &Uuml;berblick &uuml;ber die notwendige Basis-Installation und optionale weitere Konfigurationsm&ouml;glichkeiten.</p>
-
-<h1><a name="basisauth" id="basisauth"></a>2 Basis-Installation von MOA-ID-AUTH</h1>
-
-<p>Die Basis-Installation stellt einerseits die minimalen Anforderungen f&uuml;r den Betrieb von MOA-ID-AUTH dar, andererseits dient sie als Ausgangspunkt f&uuml;r weitere (optionale) Konfigurations-M&ouml;glichkeiten. <br />
- <br />
- Folgende Software ist Voraussetzung f&uuml;r die Basis-Installation:
-<ul>
- <li>JDK 1.4.0, JDK 1.4.2, JDK 1.5.0 oder JDK 1.6*)</li>
- <li>Tomcat 4.1.31, Tomcat 5.0.28, Tomcat 5.5 oder Tomcat 6</li>
- <li>MOA-ID-AUTH 1.5 </li>
- <li>MOA SP/SS 1.5 oder neuer (entweder als WebService oder direkt als interne Bibliothek)</li>
-</ul>
- <p>*) F&uuml;r den Online-Vollmachten-Modus m&uuml;ssen zumindest JDK 6 Update 22, JDK 5 Update 26 oder JDK 1.4.2 Update 28 eingesetzt werden. </p>
-
- <p> Um m&ouml;glichen Versionskonflikten aus dem Weg zu gehen sollten stets die neuesten Versionen von MOA-ID als auch von MOA-SP/SS verwendet werden. <br/>
- In diesem Betriebs-Szenario wird MOA-ID-AUTH in Tomcat deployt. Tomcat fungiert gleichzeitig als HTTP- und HTTPS-Endpunkt f&uuml;r MOA-ID-AUTH. Beide Protokolle werden direkt in Tomcat konfiguriert. <br/>
- <br/>
- Die Webapplikation verwendet Log4j als Logging Toolkit.</p>
-
-<h1><a name="basisproxy" id="basisproxy"></a>3 Basis-Installation von MOA-ID-PROXY (optional)</h1>
-
-<p>Einer Online-Applikation, f&uuml;r die MOA-ID-AUTH die Authentisierung &uuml;bernimmt, kann die Komponente MOA-ID-PROXY vorgeschaltet werden. Diese Komponente &uuml;bernimmt die Anmeldedaten von MOA-ID-AUTH, f&uuml;hrt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation und Daten an den Benutzer durch.
-
-Die Basis-Installation von MOA-ID-PROXY geschieht im Wesentlichen analog zur Basis-Installation von MOA-ID-AUTH. <br/>
-<br/>
-MOA-ID-AUTH und MOA-ID-PROXY k&ouml;nnen in verschiedenen Konstellationen zum Einsatz gebracht werden: </p>
-<ul>
- <li>auf verschiedenen Rechnern</li>
- <li>auf ein und demselben Rechner in verschiedenen Java Servlet Containern</li>
- <li>auf ein und demselben Rechner in ein und demselben Java Servlet Container</li>
-</ul>
-Ausgehend von der Basis-Installation k&ouml;nnen die optionalen Konfigurationen, die in den nachfolgenden Abschnitten beschrieben werden, unabh&auml;ngig und in beliebiger Kombination aufgesetzt werden.</p>
-
-<h1><a name="webserver" id="webserver"></a>4 Konfiguration mit vorgeschaltetem Webserver (optional)</h1>
-
-<p>
-Den MOA ID Webapplikationen kann jeweils optional ein Webserver vorgeschaltet sein. Unter Microsoft Windows ist das im Regelfall der Microsoft Internet Information Server (MS IIS), auf Unix-Systemen kommt &uuml;blicherweise der Apache Webserver zum Einsatz.
-<br /><br />
- Folgende Software ist unter Windows Voraussetzung:
-
-<ul>
-<li>MS IIS 5.0 </li>
-<li>Jakarta mod_jk 1.2.2 </li>
-</ul>
-Folgende Software ist unter Unix/Linux Voraussetzung:
-<ul>
-<li>Apache Webserver 2.0.x mit mod_SSL </li>
-<li>Jakarta mod_jk 1.2.2 </li>
-</ul>
-</p>
-In diesem Fall &uuml;bernimmt der vorgeschaltete Webserver die Funktion des HTTP- und HTTPS-Endpunktes. Beide Protokolle werden im Webserver konfiguriert.
-<br /><br />
-Mittels mod_jk werden die Webservice-Aufrufe, die im vorgeschalteten Webserver eintreffen, an Tomcat weiter geleitet, bzw. die Antwort von Tomcat wieder an den Webserver zur&uuml;ck &uuml;bermittelt.
-<h1><a name="sql" id="sql"></a>5 Konfiguration mit PostgreSQL (optional)</h1>
-<p>Das MOA ID Webservice kann eine PostgreSQL Datenbank nutzen, um:
-<ul>
- <li>Log-Meldungen zu speichern </li>
-</ul>
-F&uuml;r den Zugriff auf PostgreSQL ist die Installation folgender Software Voraussetzung:
-<ul>
- <li>PostgreSQL 7.3</li>
-</ul>
-<h1><a name="software" id="software"></a>6 Referenzierte Software</h1>
-Die Versionsangaben beziehen sich auf die Versionen, mit denen die MOA ID Webapplikationen entwickelt und getestet wurde. Geringf&uuml;gig andere Software-Versionen stellen &uuml;blicherweise kein Problem dar.
-<br />
- <table border="1" width="48%" cellpadding="2" cellspacing="0">
- <tr>
- <th width="36%">Komponente</th>
- <th width="64%">Getestete Version</th>
- </tr>
- <tr>
- <td width="36%"><b>JDK (SDK)</b></td>
- <td width="64%"><p>min. <a href="http://java.sun.com/j2se/1.4.0/download.html">1.4.0</a> bzw. <a href="http://java.sun.com/j2se/1.4.2/download.html"><br>
- 1.4.2</a><br/>
- <a href="http://java.sun.com/j2se/1.5.0/download.html">1.5.0</a><br/>
- <a href="http://www.oracle.com/technetwork/java/javase/downloads/index.html">1.6.0</a> </p></td>
- </tr>
- <tr>
- <td width="36%" height="21"><b>Tomcat</b></td>
- <td width="64%" height="21"><p><a href="http://archive.apache.org/dist/tomcat/tomcat-4/v4.1.31/bin/jakarta-tomcat-4.1.31.zip">4.1.31</a><br/>
- <a href="http://tomcat.apache.org/download-55.cgi">5.5.x</a><br/>
- <a href="http://tomcat.apache.org/download-60.cgi">6.0.x</a></p></td>
- </tr>
- <tr>
- <td width="36%"><b>MOA-ID-AUTH </b></td>
- <td width="64%"><a href="http://egovlabs.gv.at/frs/?group_id=6&release_id=5">1.5 (neueste Version) </a></td>
- </tr>
- <tr>
- <td width="36%"><b>MOA-ID-PROXY </b></td>
- <td width="64%"><a href="http://egovlabs.gv.at/frs/?group_id=6&release_id=5">1.5 (neueste Version)</a></td>
- </tr>
- <tr>
- <td width="36%"><b>MOA-SPSS </b></td>
- <td width="64%"><a href="http://egovlabs.gv.at/frs/?group_id=6&release_id=5">1.5 (neueste Version)</a>&#160;</td>
- </tr>
- <tr>
- <td width="36%"><b>Apache Webserver </b></td>
- <td width="64%"><a href="http://httpd.apache.org/">1.3.X</a> bzw.<br>
- <a href="http://httpd.apache.org/">2.0.X</a></td>
- </tr>
- <tr>
- <td width="36%"><b>Microsoft Internet Information Server </b></td>
- <td width="64%"><a href="http://www.microsoft.com/windows2000/en/server/iis/default.asp">5.0</a>&#160; <br/>
- <a href="http://www.microsoft.com/WindowsServer2003/iis/default.mspx">6.0</a>&#160; </td>
- </tr>
- <tr>
- <td width="36%"><b>mod_SSL </b></td>
- <td width="64%">(<a href="http://httpd.apache.org/docs-2.0/ssl/">**</a>)&#160; </td>
- </tr>
- <tr>
- <td width="36%"><b>Jakarta mod_jk </b></td>
- <td width="64%"><a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/jk2/">1.2.2&#160;</a></td>
- </tr>
- <tr>
- <td width="36%"><b>Jakarta Log4j </b></td>
- <td width="64%"><a href="http://jakarta.apache.org/log4j/docs/index.html">1.2.8</a>&#160; </td>
- </tr>
- <tr>
- <td width="36%"><b>PostgreSQL </b></td>
- <td width="64%"><a href="http://techdocs.postgresql.org/installguides.php">7.3</a>&#160; </td>
- </tr>
- </table>
-<br />
-(**) passend zur Version des Apache Webservers
-
-</body>
-</html>
diff --git a/id/server/doc/moa_id/id-admin_1.htm b/id/server/doc/moa_id/id-admin_1.htm
deleted file mode 100644
index 940ef4d2d..000000000
--- a/id/server/doc/moa_id/id-admin_1.htm
+++ /dev/null
@@ -1,393 +0,0 @@
-<html>
-<head>
- <title>MOA-ID Administration</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
- <link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
- <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
- <p class="subtitle">Basis-Installation</p>
- <hr/>
-<h1>Inhalt</h1>
- <ol>
- <li>
- <p><a href="#vorbereitung">Vorbereitung</a></p>
- </li>
- <li>
- <p><a href="#Tomcat">Konfiguration von Tomcat</a></p>
- </li>
- <li>
- <p><a href="#deployment_ak">Deployment von MOA-ID-AUTH in Tomcat</a></p>
- </li>
- <li>
- <p><a href="#deployment_pk">Deployment von MOA-ID-PROXY in Tomcat</a></p>
- </li>
- <li>
- <p><a href="#Tomcat_Start">Starten und Stoppen von Tomcat</a></p>
- </li>
- <li>
- <p><a href="#Logging">Logging</a></p>
- </li>
-</ol>
- <hr/>
-<h1><a name="vorbereitung" id="vorbereitung">1 Vorbereitung</a></h1>
-<p>Bei der Basis-Installation von MOA-ID-AUTH und von MOA-ID-PROXY ist grunds&auml;tzlich gleichartig vorzugehen.
-Unterschiede sind in der Installationsanweisung angef&uuml;hrt.</p>
-<p><b>Installation des JDK</b><br />
-Installieren Sie das JDK in ein
- beliebiges Verzeichnis. Das Wurzelverzeichnis der JDK-Installation
- wird im weiteren Verlauf als $JAVA_HOME bezeichnet. <br />
- <br />
- <b>Installation von Tomcat</b><br />
-Installieren Sie Tomcat in ein Verzeichnis, das <b>keine Leer- und
- Sonderzeichen</b> im Pfadnamen enth&auml;lt. Am Besten verwenden
- die referenzierte Version von Tomcat im zip-Format. (Hinweis f.
- Windows: nicht die selbstinstallierende exe Version verwenden.)
- Das Wurzelverzeichnis der Tomcat-Installation wird im weiteren Verlauf
- als $CATALINA_HOME bezeichnet.<br />
- <br />
- <b>Entpacken der MOA ID Webapplikation</b><br />
-Entpacken Sie die ausgelieferten Dateien der Webapplikation (moa-id-auth-x.y.zip
- oder moa-id-proxy-x.y.zip; ersetzen Sie x.y durch die Releasenummer
- von MOA-ID-AUTH bzw. MOA-ID-PROXY) in ein beliebiges Verzeichnis.
- Diese Verzeichnisse werden im weiteren Verlauf als $MOA_ID_INST_AUTH
- bzw. $MOA_ID_INST_PROXY bezeichnet. <br />
- <br />
- <b>Installation der IAIK JCE und des IAIK LDAP Protocol Handlers</b><br />
-Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext (oder $MOA_ID_INST_PROXY/ext)
- m&uuml;ssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden.
- Anschlie&szlig;end steht eine Unterst&uuml;tzung f&uuml;r Kryptographie
- und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verf&uuml;gung.<br>
- <br />
-Zus&auml;tzlich m&uuml;ssen die so genannten Unlimited Strength
- Jurisdiction Policy Files heruntergeladen, entpackt
-und ins Verzeichnis $JAVA_HOME/jre/lib/security kopiert werden. </p>
-<p>Der Download f&uuml;r diese Dateien findet sich am unteren Ende
- der Download-Seite des jeweiligen JDK in der Sektion "Other
- Downloads". D.h. JDK <a href="http://java.sun.com/j2se/1.4.0/download.html"> hier f&uuml;r 1.4.0</a>, das JDK <a href="http://java.sun.com/j2se/1.4.2/download.html">hier
- f&uuml;r 1.4.2</a>, das JDK <a href="http://java.sun.com/j2se/1.5.0/download.html">hier
- f&uuml;r 1.5.0</a> bzw. das JDK <a href="http://www.oracle.com/technetwork/java/javase/downloads/index.html">hier
- f&uuml;r 1.6.0</a></p>
-
-
-<h1><a name="Tomcat" id="Tomcat"></a>2 Konfiguration von Tomcat</h1>
-<b>Minimale Konfiguration</b> <br />
- Die zentrale Konfigurations-Datei von Tomcat ist $CATALINA_HOME/conf/server.xml. Tomcat wird grunds&auml;tzlich mit
- einer funktionierenden Default-Konfiguration ausgeliefert, die jedoch einiges an Ballast enth&auml;lt und viele Ports
- offen l&auml;sst. Die Datei server.xml im Verzeichnis mit der Versionsnummer des verwendeten Tomcats unter $MOA_ID_INST_AUTH/tomcat (bzw. $MOA_ID_INST_PROXY/tomcat) enth&auml;lt eine minimale
- Tomcat-Konfiguration, die je einen Connector f&uuml;r HTTP und f&uuml;r HTTPS freischaltet. Die jeweilige Datei server.mod_jk.xml schaltet zus&auml;tzlich den AJP Connector Port f&uuml;r den Apache Webserver frei (falls diese Datei verwendet werden soll ist sie zuvor noch auf server.xml umzubenennen).<br />
- <br />
- <b>SSL</b><br />
- F&uuml;r den sicheren Betrieb von MOA-ID-AUTH ist die Verwendung von SSL Voraussetzung, sofern nicht ein vorgelagerter WebServer (Apache oder IIS) das SSL-Handling &uuml;bernimmt.
- Ebenso kann SSL auch f&uuml;r MOA-ID-PROXY verwendet werden.
- Das Dokument <a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/ssl-howto.html" target="_new">Tomcat SSL Configuration HOW-TO</a> gibt einen guten &Uuml;berblick &uuml;ber die Konfiguration von SSL in Tomcat. Da die f&uuml;r SSL notwendigen Bibliotheken bereits im Abschnitt "Vorbereitung" eingebunden wurden, sind nur noch folgende Schritte notwendig:<ul>
- <li>Erstellung eines Server-Keystores, welches den privaten Schl&uuml;ssel des Servers sowie das Server-Zertifikat enth&auml;lt,
- z.B. mit dem <a href="http://java.sun.com/j2se/1.3/docs/tooldocs/win32/keytool.html" target="_new"> Java Keytool</a>. <br />
- <b>Hinweis:</b> Standardm&auml;&szlig;ig wird beim Erzeugen eines neuen Keystores im Home-Verzeichnis des Benutzers die Datei ".keystore" angelegt. M&ouml;chte man den Dateinamen und Pfad &auml;ndern, kann man das dem SSL-Connector in $CATALINA_HOME/conf/server.xml durch hinzuf&uuml;gen des Attributes <i>keystoreFile="NAME DES KEYSTORES"</i> im Element &lt;Factory&gt; bekannt machen. Das zum Keystore geh&ouml;rende Passwort &uuml;bergibt man Tomcat mittels des Attributes <i>keystorePass= "PASSWORT DES KEYSTORES"</i> im Element &lt;Factory&gt;. </li>
- <li>Erstellung eines Keystores mit vertrauensw&uuml;rdigen Client-Zertifikaten, z.B. mit dem <a href="http://java.sun.com/j2se/1.3/docs/tooldocs/win32/keytool.html" target="_new"> Java Keytool</a> (nur, wenn SSL Client-Authentisierung verwendet werden soll) </li>
- <li>Falls eine Client-Authentisierung gew&uuml;nscht ist, muss die Konfiguration des SSL-Connectors in $CATALINA_HOME/conf/server.xml angepasst werden.</li>
-</ul>
-<b>MOA Administrator</b><br />
- Der Aufruf der URL f&uuml;r die dynamische Konfiguration von MOA-ID-AUTH ist durch eine Passwort-Abfrage gesch&uuml;tzt, und kann nur von Benutzern aufgerufen werden, die der Benutzer-Rolle <tt>moa-admin</tt> zugeordnet werden k&ouml;nnen.<br />
- Um diese Benutzer-Rolle und einen oder mehrere Benutzer einzurichten, m&uuml;ssen in der Datei $CATALINA_HOME/conf/tomcat-users.xml unter dem Element <tt>&lt;tomcat-users&gt;</tt> sinngem&auml;&szlig; folgende Eintr&auml;ge hinzugef&uuml;gt werden:
-<pre>
-&lt;role rolename="moa-admin"/&gt;
-&lt;user username="moa" password="moa" roles="moa-admin"/&gt;</pre>
-
-<h1><a name="deployment_ak" id="deployment_ak"></a>3 Deployment von MOA-ID-AUTH in Tomcat</h1>
-Um MOA-ID-AUTH in Tomcat f&uuml;r den Ablauf vorzubereiten, sind folgende Schritte notwendig: <br />
-
-<ul>
- <li>Die Datei $MOA_ID_INST_AUTH/moa-id-auth.war wird ins Verzeichnis
- $CATALINA_HOME/webapps kopiert. Dort wird sie beim ersten Start
- von Tomcat automatisch ins Verzeichnis $CATALINA_HOME/webapps/moa-id-auth
- entpackt. </li>
- <li>Die MOA-ID Konfigurationsdatei und die zugeh&ouml;rigen Verzeichnisse
- "certs" und "transforms" werden in ein beliebiges Verzeichnis
- im Filesystem kopiert (z.B. $CATALINA_HOME/conf/moa-id). <br />
- Im Verzeichnis $MOA_ID_INST_AUTH/conf/moa-id befinden sich
- acht verschiedene Beispielkonfigurationen, die als Ausgangspunkte
- f&uuml;r die Konfiguration von MOA-ID-AUTH dienen k&ouml;nnen:
- <ul>
- <li>SampleMOAIDConfiguration.xml: Konfiguration von MOA-ID f&uuml;r
- eine Anwendung aus dem &ouml;ffentlichen Bereich. <br>
- Karte: B&uuml;rgerkarte <br>
- Konfiguration ohne Proxykomponente</li>
- <li>SampleMOAIDConfiguration_withTestBKs.xml: Konfiguration von MOA-ID
- f&uuml;r eine Anwendung aus dem &ouml;ffentlichen Bereich. <br>
- Karte: B&uuml;rgerkarte und Testkarte <br>
- Konfiguration ohne Proxykomponente</li>
- <li>SampleMOAWIDConfiguration.xml: Konfiguration von MOA-ID f&uuml;r
- eine Anwendung aus dem privatwirtschaftlichen Bereich (MOA-WID Modus). <br>
- Karte: B&uuml;rgerkarte <br>
- Konfiguration ohne Proxykomponente</li>
- <li>SampleMOAWIDConfiguration_withTestBKs.xml: Konfiguration von MOA-ID f&uuml;r
- eine Anwendung aus dem privatwirtschaftlichen Bereich (MOA-WID Modus). <br>
- Karte: B&uuml;rgerkarte und Testkarte <br>
- Konfiguration ohne Proxykomponente</li>
- <li id="sampleProxyConfig">SampleMOAIDConfigurationProxy.xml: Konfiguration von MOA-ID f&uuml;r
- eine Anwendung aus dem &ouml;ffentlichen Bereich. <br>
- Karte: B&uuml;rgerkarte <br>
- Konfiguration mit <a href="#deployment_pk">Proxykomponente</a>.</li>
- <li>SampleMOAIDConfiguration_withTestBKsProxy.xml: Konfiguration von MOA-ID
- f&uuml;r eine Anwendung aus dem &ouml;ffentlichen Bereich. <br>
- Karte: B&uuml;rgerkarte und Testkarte <br>
- Konfiguration mit <a href="#deployment_pk">Proxykomponente</a></li>
- <li>SampleMOAWIDConfigurationProxy.xml: Konfiguration von MOA-ID f&uuml;r
- eine Anwendung aus dem privatwirtschaftlichen Bereich (MOA-WID Modus). <br>
- Karte: B&uuml;rgerkarte <br>
- Konfiguration mit <a href="#deployment_pk">Proxykomponente</a></li>
- <li>SampleMOAWIDConfiguration_withTestBKsProxy.xml: Konfiguration von MOA-ID f&uuml;r
- eine Anwendung aus dem privatwirtschaftlichen Bereich (MOA-WID Modus). <br>
- Karte: B&uuml;rgerkarte und Testkarte <br>
- Konfiguration mit <a href="#deployment_pk">Proxykomponente</a></li>
- </ul>
- </li>
- <li>Die endorsed Libraries f&uuml;r Tomcat m&uuml;ssen aus dem
- Verzeichnis $MOA_ID_INST_AUTH/endorsed in das Tomcat-Verzeichnis
- $CATALINA_HOME/common/endorsed kopieren werden. F&uuml;r Tomcat 6 m&uuml;ssen die Dateien in das Verzeichnis $CATALINA_HOME/endorsed kopiert werden (das Verzeichnis endorsed ist dabei im Allgemein erst anzulegen). Folgende Libraries
- sind f&uuml;r das Deployment im endorsed Verzeichnis vorgesehen:
- <ul>
- <li>xalan.jar</li>
- <li>serializer.jar (f&uuml;r Xalan ben&ouml;tigt)</li>
- <li>xml-apis.jar</li>
- <li id="klein2">xercesImpl.jar</li>
- </ul>
- Eventuell vorhandene Dateien mit dem gleichen Namen m&uuml;ssen
- ersetzt werden. Die ggf. in diesem Verzeichnis vorhandene Datei <code>xmlParserAPIs.jar</code> muss gel&ouml;scht werden.</li>
- <li>Folgende Java System Properties sind zu setzen: <br />
- <ul id="klein2">
- <li id="klein2">moa.id.configuration=Name der MOA ID Konfigurationsdatei.
- Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/
- SampleMOAIDConfiguration.xml enthalten.</li>
- <li id="klein2">log4j.configuration=URL der Log4j Konfigurationsdatei.
- Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties
- enthalten. </li>
- <li id="klein2">javax.net.ssl.trustStore=Name des Truststores
- f&uuml;r vertrauensw&uuml;rdige SSL Client-Zertifikate (optional;
- nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden
- soll). <br>
- </li>
- </ul>
- Diese Java System-Properties werden Tomcat &uuml;ber die Umgebungsvariable
- CATALINA_OPTS mitgeteilt (Beispiel-Skripte zum Setzen dieser
- Properties f&uuml;r <b>Windows</b> und f&uuml;r <b>Unix bzw.
- Linux</b> finden sie unter $MOA_ID_INST_AUTH/tomcat/win32 bzw.
- $MOA_ID_INST_AUTH/tomcat/unix). Diese Skripte k&ouml;nnen sie nach $CATALINA_HOME kopieren und in Folge von dort starten nachdem die Variablen CATALINA_HOME sowie JAVA_HOME in den Skripten entsprechend den Pfaden der Installation gesetzt wurden.
-</ul>
-<h1><a name="deployment_pk" id="deployment_pk"></a>4 Deployment von MOA-ID-PROXY in Tomcat</h1>
-Um MOA-ID-PROXY in Tomcat f&uuml;r den Ablauf vorzubereiten, sind folgende Schritte notwendig: <br />
-<ul>
- <li> <b>F&uuml;r Tomcat 4.1.31:</b>
- <ul>
- <li>Die Datei $MOA_ID_INST_PROXY/moa-id-proxy.war wird in ein
- beliebiges Verzeichnis (bspw. $CATALINA_HOME/webappsProxy) kopiert. <b>HINWEIS:
- Das Verzeichnis darf sich NICHT unterhalb $CATALINA_HOME/webapps befinden!</b><br/>
- </li>
- <li>Anschlie&szlig;end muss in der Datei <tt>$CATALINA_HOME/conf/server.xml</tt> der
- Tomcat-Root-Context auf diese Datei gesetzt werden: wenn
- das war-file sich in $CATALINA_HOME/webappsProxy befindet, geschieht dies
- mit dem Einf&uuml;gen von folgendem Element innerhalb von <tt>&lt;Server&gt;...&lt;Service&gt;...&lt;Engine&gt;...&lt;Host&gt;</tt>:
- <pre>&lt;Context path=""
- docBase="../webappsProxy/moa-id-proxy.war"
- debug="0"/&gt;</pre>
- Anmerkung: Der Root-Context von Tomcat ist normalerweise auskommentiert. </li>
- </ul>
- </li>
- <li> <b>F&uuml;r Tomcat 5.0.28:</b>
- <ul>
- <li>Die Datei $MOA_ID_INST_PROXY/moa-id-proxy.war ist in ein
- beliebiges Verzeichnis (bspw. $CATALINA_HOME/webappsProxy) <b>zu entpacken</b> (diese Datei ist mittels ZIP Algorithmus komprimiert und kann mit jedem Tool,
- das mit .ZIP-Dateien umgehen kann, ge&ouml;ffnet werden). <b>HINWEIS:
- Das Verzeichnis darf sich NICHT unterhalb $CATALINA_HOME/webapps befinden!</b><br/>
- </li>
- <li>Anschlie&szlig;end muss in der Datei <tt>$CATALINA_HOME/conf/server.xml</tt> der
- Tomcat-Root-Context auf diese Datei gesetzt werden: wenn die Proxy Web-Applikation
- nach $CATALINA_HOME\webappsProxy entpackt wurde, geschieht dies mit dem Einf&uuml;gen
- von folgendem Element innerhalb von <tt>&lt;Server&gt;...&lt;Service&gt;...&lt;Engine&gt;...&lt;Host&gt;</tt>: </li>
- <pre>&lt;Context path="" docBase="../webappsProxy"
- debug="0"/&gt;</pre>
- Alternativ kann statt die Datei server.xml zu &auml;ndern in <tt>$CATALINA_HOME\conf\Catalina\localhost</tt> eine Datei moa-id-proxy.xml mit vorhin angegebenen Inhalt erstellt werden.
- </ul>
- </li>
-</ul>
-<br />
-<b>Tomcat Konfiguration:</b>
-<ul>
- <li>Die MOA-ID Konfigurationsdatei und die zugeh&ouml;rigen
- Verzeichnisse "certs" und "oa" werden in ein beliebiges Verzeichnis
- im Filesystem kopiert (z.B. $CATALINA_HOME/ conf/moa-id). <br />
- Im Verzeichnis $MOA_ID_INST_PROXY/conf/moa-id befinden sich
- vier verschiedene <a href="#sampleProxyConfig">Beispielkonfigurationen</a>,
- die als Ausgangspunkte f&uuml;r die Konfiguration von MOA-ID-PROXY
- dienen k&ouml;nnen. </li>
- <li>Die endorsed Libraries f&uuml;r Tomcat m&uuml;ssen aus dem
- Verzeichnis $MOA_ID_INST_PROXY/endorsed in das Tomcat-Verzeichnis
- $CATALINA_HOME/common/endorsed kopiert werden. Folgende Libraries
- sind f&uuml;r das Deployment im endorsed Verzeichnis vorgesehen:
- <ul>
- <li id="klein3">Xerces-J-2.4.0 (bestehend aus xercesImpl.jar
- und xmlParserAPIs.jar)</li>
- </ul>
- Eventuell vorhandene Dateien mit dem gleichen Namen m&uuml;ssen
- ersetzt werden. </li>
- <li>Folgende Java System Properties sind zu setzen: <br />
- <ul id="klein3">
- <li id="klein3">moa.id.configuration=Name der MOA ID Konfigurationsdatei.
- Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/
- SampleMOAIDConfiguration.xml enthalten.</li>
- <li id="klein3">log4j.configuration=URL der Log4j Konfigurationsdatei.
- Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties
- enthalten. </li>
- <li id="klein3">javax.net.ssl.trustStore=Name des Truststores
- f&uuml;r vertrauensw&uuml;rdige SSL Client-Zertifikate
- (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt
- werden soll). </li>
- </ul>
- </li>
- Diese Java System-Properties werden Tomcat &uuml;ber die Umgebungsvariable
- CATALINA_OPTS mitgeteilt (siehe Deployment von MOA-ID-AUTH <a href="examples/moa-id-env.sh.txt">moa-id-env.sh.txt</a>). <br>
- <br>
- Beispiel-Skripts zum Setzen von CATALINA_OPTS und zum Starten
- von Tomcat sind in $MOA_ID_INST_AUTH\tomcat\ zu finden - Sie
- k&ouml;nnen diese f&uuml;r Ihre Zwecke adaptieren (JAVA_HOME
- und $CATALINA_HOME setzen) und nach $CATALINA_HOME kopieren.
-</ul>
-<h1><a name="Tomcat_Start" id="Tomcat_Start"></a>5 Starten und Stoppen von Tomcat</h1>
-Nach dem Deployment und der Konfiguration kann
- Tomcat aus seinem Wurzelverzeichnis ($CATALINA_HOME) mit <br />
-<pre>
- startTomcat (unter Windows) oder
- moa-id-env.sh
- bin/catalina.sh start (unter Unix/Linux)
-</pre>
-gestartet werden. Das Stoppen von Tomcat erfolgt analog mit <br />
-<pre>
- bin\catalina stop (unter Windows) oder
- bin/catalina.sh stop (unter Unix/Linux)
-</pre>
-Ein erfolgreicher Startvorgang von MOA-ID-AUTH ist an folgender Log-Meldung ersichtlich: <br />
-<pre>
- INFO | 08 13:33:38,497 | main |
- MOA ID Authentisierung wurde
- erfolgreich gestartet
-</pre>
-Analog bei MOA-ID-PROXY: <br/>
-<pre>
- INFO | 08 13:35:49,876 | main |
- MOA ID Proxy wurde erfolgreich gestartet
-</pre>
-Nach dem erfolgreichen Starten von Tomcat steht MOA-ID-AUTH unter der URL
-<pre>
-http(s)://host:port/moa-id-auth/StartAuthentication
-</pre>
-zur Verf&uuml;gung. Der WebService ist unter
-<pre>
-http(s)://host:port/moa-id-auth/services/GetAuthenticationData
-</pre>
-<p>erreichbar. Die Verf&uuml;gbarkeit der Anwendung kann &uuml;berpr&uuml;ft werden, indem die URLs mit einem Web-Browser aufgerufen werden.</p>
-<p><strong>Musterseite (MOA-Template zur B&uuml;rgerkartenauswahl)</strong><br />
-Nach dem erfolgreichen Starten von Tomcat steht eine Musterseite unter der URL</p>
-<pre>
-http(s)://host:port/moa-id-auth/index.html</pre>
-<p>zur Verf&uuml;gung. Diese Musterseite bietet eine integrierte Darstellung der B&uuml;rgerkartenauswahl bei MOA-ID. Die Musterseite stellt dabei beispielhaft dar, wie eine B&uuml;rgerkartenauswahl m&ouml;glichst nahtlos in MOA-ID integriert werde kann. Sie umfa&szlig;t dabei vorkonfigurierte Loginm&ouml;glichkeiten mittels Online-BKU, lokaler BKU und Handy-BKU. <em>Anmerkung</em>: Um sich &uuml;ber die Musterseite einloggen zu k&ouml;nnen, m&uuml;ssen noch die Parameter f&uuml;r den MOA-ID Aufruf angegeben werden - siehe Dokumentation der Musterseite, die &uuml;ber die Musterseite verlinkt ist bzw. &uuml;ber folgende URL abgerufen werden kann</p>
-<pre>
-http(s)://host:port/moa-id-auth/BKAuswahl-MOA-Template-Howto.pdf </pre>
-<p><b>Dynamische Konfigurations-Updates</b><br />
- Dynamische Konfigurations-Updates k&ouml;nnen f&uuml;r MOA-ID-AUTH durch den Aufruf der URL http://hostname:port/moa-id-auth/ConfigurationUpdate (z.B. durch Eingabe in einem Browser) durchgef&uuml;hrt werden. Analog wird die Konfiguration von MOA-ID-PROXY mittels http://hostname:port/ConfigurationUpdate aktualisiert.<br />
- <br />
- <b>Hinweis: </b>Konfigurations&auml;nderungen f&uuml;r die Online-Applikationen betreffen grunds&auml;tzlich sowohl die Auth- als auch die Proxy-Komponente.
- Wenn bspw. das <tt>publicURLPrefix</tt> der OA ge&auml;ndert wird, muss sowohl f&uuml;r die Auth- als auch f&uuml;r die Proxy-Komponente ein ConfigurationUpdate durchgef&uuml;hrt werden. <br />
- <br />
- Konnte MOA-ID-AUTH bzw. MOA-ID-PROXY nicht ordnungsgem&auml;&szlig; konfiguriert und gestartet werden, geht das aus der Log-Meldung hervor: <br />
-</p>
-<pre>
-FATAL | 03 13:19:06,924 | main | Fehler
- beim Starten des Service MOA ID Authentisierung
-</pre>
-bzw.
-<pre>
-FATAL | 03 13:19:06,924 | main | Fehler
- beim Starten des Service MOA ID Proxy
-</pre>
-In diesem Fall geben die WARN bzw. ERROR Log-Meldungen unmittelbar davor Aufschluss &uuml;ber den genaueren Grund.
-<h1><a name="Logging" id="Logging"></a>6 Logging</h1>
-Die MOA ID Webapplikation verwendet Jakarta Log4j f&uuml;r die Ausgabe von Log-Meldungen am Bildschirm bzw. in Log-Dateien. Log4j bietet zahlreiche Konfigurationsm&ouml;glichkeiten, die ausf&uuml;hrlich im <a href="http://jakarta.apache.org/log4j/docs/manual.html" target="_new">Log4j Handbuch</a> beschrieben sind. Unter anderem gibt es die M&ouml;glichkeit, folgende Einstellungen vorzunehmen: <br />
- <ul>
- <li id="klein4">Das verwendete Log-Level (DEBUG, INFO, WARN, ERROR, FATAL).</li>
- <li id="klein4">Name und maximale Gr&ouml;&szlig;e der Log-Datei(en).</li>
- <li id="klein4">Das Aussehen der Log-Eintr&auml;ge.</li>
- </ul>
- Es werden folgende Log-Hierarchien verwendet:
-<ul>
- <li>moa.id.auth f&uuml;r alle Log-Meldungen aus dem MOA-ID-AUTH Modul </li>
- <li>moa.id.proxy f&uuml;r alle Log-Meldungen aus dem MOA-ID-PROXY Modul </li>
- <li>moa.spss.server f&uuml;r alle Log-Meldungen aus dem MOA-SPSS Modul </li>
- <li>iaik.server f&uuml;r alle Log-Meldungen aus den IAIK Kryptographie-Modulen </li>
-</ul>
-Als Ausgangspunkt f&uuml;r die Logging-Konfiguration liegt die Datei $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties (bzw. $MOA_ID_INST_PROXY/conf/moa-id/log4j.properties) bei.
- Wird diese Datei als Logging-Konfiguration verwendet, so werden alle Log-Meldungen sowohl in die Konsole, als auch in die Datei <tt>$CATALINA_HOME/logs/moa-id.log</tt> geschrieben. <br />
- <br />
- <b>Format der Log-Meldungen</b><br />
- Anhand einer konkreten Log-Meldung wird das Format der MOA ID Log-Meldungen erl&auml;utert:
- <pre>
- INFO | 09 08:23:59,385 | Thread-8 |
- Anmeldedaten zu MOASession -5468974113772848113
- angelegt, SAML Artifakt
- AAF/BrdRfnMaQVGIbP/Gf9OwDUwwsXChb7nuT+VXQzOoHbV
-</pre>
- Der Wert <tt>INFO</tt> besagt, dass die Log-Meldung im Log-Level <tt>INFO</tt> entstanden ist. Folgende Log-Levels existieren:<br />
- <ul>
- <li id="klein4"><tt>DEBUG:</tt> Log-Meldungen im Log-Level <tt>DEBUG</tt> geben Auskunft &uuml;ber die innere Arbeitsweise des Systems. Sie sind haupts&auml;chlich f&uuml;r Entwickler interessant.</li>
- <li id="klein4"><tt>INFO:</tt> Diese Log-Meldungen geben informative Status-Informationen &uuml;ber den Ablauf der Webapplikation, wie z.B., dass eine neue Anfrage eingelangt ist.</li>
- <li id="klein4"><tt>WARN:</tt> Bei der Ausf&uuml;hrung einer Operation sind leichte Fehler aufgetreten. Der Ablauf der Webapplikation ist nicht weiter beeintr&auml;chtigt.</li>
- <li id="klein4"><tt>ERROR:</tt> Die Ausf&uuml;hrung einer Operation musste abgebrochen werden. Die Webapplikation ist davon nicht beeintr&auml;chtigt. </li>
- <li id="klein4"><tt>FATAL:</tt> Es ist ein Fehler aufgetreten, der den weiteren Betrieb der Webapplikation nicht mehr sinnvoll macht.</li>
- </ul>
- Der n&auml;chste Wert <tt>09 08:23:59,385</tt>, gibt den Zeitpunkt an, an dem die Log-Meldung generiert wurde (in diesem Fall den 9. Tag im aktuellen Monat, sowie die genaue Uhrzeit). <br />
- Der Rest der Zeile einer Log-Meldung ist der eigentliche Text, mit dem das System bestimmte Informationen anzeigt. Im Fehlerfall ist h&auml;ufig ein Java Stack-Trace angef&uuml;gt, der eine genauere Ursachen-Forschung erm&ouml;glicht. <br />
- <br />
- <b>Wichtige Log-Meldungen</b><br />
- Neben den im Abschnitt "Starten und Stoppen von Tomcat" beschriebenen Log-Meldungen, die anzeigen, ob die Webapplikation
- ordnungsgem&auml;&szlig; gestartet wurde, geben nachfolgenden Log-Meldungen Aufschluss &uuml;ber die Abarbeitung von Anfragen.
- Die Annahme einer Anfrage wird beispielsweise angezeigt durch:
-<pre>
- INFO | 09 08:37:17,663 | Thread-9 |
- MOASession 6576509775379152205 angelegt
-
- INFO | 09 08:37:20,828 | Thread-9 |
- Anmeldedaten zu MOASession 6576509775379152205
- angelegt, SAML Artifakt
- AAF/BrdRfnMaQVGIbP/Gf9OwDUwwsXChb7nuT+VXQzOoHbV
-
-</pre>
-Die 1. Log-Meldung besagt, dass sich ein Benutzer an MOA-ID-AUTH angemeldet und eine eindeutige SessionID zugewiesen bekommen hat. <br />
- Die 2. Log-Meldung informiert dar&uuml;ber, dass die Anmeldedaten des Benutzers unter dem angezeigten SAML Artifakt abgeholt werden k&ouml;nnen.<br />
-Wenn nun versucht wird, eine Transaktion mit einer ung&uumlltigen SessionID fortzusetzen erh&auml;lt man folgende Log-Meldung:<br />
-<pre>
- ERROR | 09 09:34:27,105 | Thread-8 |
- at.gv.egovernment.moa.id.AuthenticationException:
- MOASessionID ist unbekannt
- (MOASessionID=-8650403497547200032)
-</pre>
- <p>In diesem Fall gibt der mitgeloggte Stacktrace Auskunft
- &uuml;ber die Art des Fehlers. Der Aufrufer der MOA ID
- Webapplikation bekommt einen Fehlercode sowie eine kurze
- Beschreibung des Fehlers als Antwort zur&uuml;ck. <br />
- <br />
- Die Tats&auml;chlich &uuml;bertragenen Anfragen bzw. Antworten
- werden aus Effizienzgr&uuml;nden nur im Log-Level DEBUG
- angezeigt.</p>
-
-</body>
-</html>
diff --git a/id/server/doc/moa_id/id-admin_2.htm b/id/server/doc/moa_id/id-admin_2.htm
deleted file mode 100644
index 286e9aee1..000000000
--- a/id/server/doc/moa_id/id-admin_2.htm
+++ /dev/null
@@ -1,1156 +0,0 @@
-<html>
-<head>
- <title>MOA ID-Administration</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
- <link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
- <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
-<p class="subtitle">Konfiguration</p>
-<h1>Inhalt</h1>
- <ol>
- <li>
- <p><a href="#moaid-konfiguration">Konfiguration von MOA-ID</a></p>
- </li>
- <li>
- <p><a href="#oa-config">Konfiguration der Online-Applikation</a></p>
- </li>
- <li>
- <p><a href="#sp-config">Konfiguration von MOA-SP</a></p>
- </li>
- <li>
- <p><a href="#online-config">&Auml;nderung der Konfiguration w&auml;hrend des Betriebs</a></p>
- </li>
- <li>
- <p><a href="#errorpages">&Auml;ndern der Default Errorpages</a></p>
- </li>
- <li>
- <p><a href="#security">Tomcat Security Manager</a></p>
- </li>
-</ol>
- <hr/>
-<h1><a name="moaid-konfiguration" id="moaid-konfiguration">1 Konfiguration von MOA-ID</a></h1>
-<p >Die Konfiguration von MOA ID wird mittels einer XML-basierten
- Konfigurationsdatei, die dem Schema <a href="../MOA-ID-Configuration-1.5.1.xsd" target="_new">MOA-ID-Configuration-1.5.1.xsd</a> entspricht, durchgef&uuml;hrt.
-<p />Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment
- der Web-Applikation in Tomcat</a> beschrieben.
-<p>Enth&auml;lt die Konfigurationsdatei relative Pfadangaben, werden
- diese relativ zum Verzeichnis in dem sich die MOA-ID Konfigurationsdatei
- befindet interpretiert.<br>
-</p>
-<p id="ConnectionParameter"> <b>ConnectionParameter</b> <br />
- Das Element <tt>ConnectionParameter</tt> enth&auml;lt Parameter,
- die MOA-ID f&uuml;r den Aufbau von Verbindungen zu anderen Komponenten
- ben&ouml;tigt. Dieses Element tritt mehrfach in der Konfigurationsdatei
- auf und wird daher vorab detailliert beschrieben.
-<p>Das Attribut <tt>URL</tt> enth&auml;lt die URL der Komponente zu
- der die Verbindung aufgebaut werden soll. Wird das Schema <tt>https</tt> verwendet, k&ouml;nnen die Kind-Elemente <tt>AcceptedServerCertificates</tt> und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt> verwendet m&uuml;ssen keine Kind-Elemente angegeben werden bzw.
- werden diese nicht ausgewertet. Andere Schemas werden nicht unterst&uuml;tzt.
-<p>Wird die Verbindung &uuml;ber TLS aufgebaut und erfordert der TLS-Server
- eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element <tt>ClientKeyStore</tt> spezifiziert werden. Im Element <tt>ClientKeyStore</tt> wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei)
- angegeben. Diesem Keystore wird der private Schl&uuml;ssel f&uuml;r
- die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen
- des privaten Schl&uuml;ssels wird im Attribut <tt>ClientKeyStore/@password</tt> konfiguriert.<br />
- Aufgrund der Tatsache, dass starke Verschl&uuml;sselung eine Voraussetzung
- f&uuml;r MOA-ID darstellt, werden clientseitig nur die folgenden
- Cipher Suites unterst&uuml;tzt:
-<ul>
- <li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li>
- <li><tt>SSL_RSA_WITH_RC4_128_MD5</tt></li>
- <li><tt>SSL_RSA_WITH_3DES_EDE_CBC_SHA</tt></li>
-</ul>
-<p>Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname
- (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem
- die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In
- diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser
- Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad
- zu den im Element <tt>&lt;TrustedCACertificates&gt;</tt> angegebenen
- Zertifikaten erstellt werden kann. Falls dies nicht m&ouml;glich ist,
- kommt es zu einem Fehlerfall.
-</p>
-<p id="AuthComponent"> <b>AuthComponent</b> <br />
- <tt>AuthComponent</tt> enth&auml;lt Parameter, die nur die MOA-ID
- Authentisierungskomponente betreffen. Das Element ist optional
- und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID
- Authentisierungskomponente installiert wird. Das Element <tt>AuthComponent</tt> hat sechs Kind-Elemente:
- <ul>
- <li><tt>BKUSelection</tt> (optional)</li>
- <li><tt>Templates</tt> (optional)</li>
- <li><tt>SecurityLayer</tt></li>
- <li><tt>MOA-SP</tt></li>
- <li><tt>IdentityLinkSigners</tt></li>
- <li><tt>VerifyInfoboxes</tt> (optional ab Version 1.4)</li>
- <li><tt>ForeignIdentities</tt></li>
- <li><tt>OnlineMandates</tt></li>
- </ul>
-<p id="BKUSelection"> <b>AuthComponent/BKUSelection</b> <br />
- Das optionale Element <tt>BKUSelection</tt> enth&auml;lt Parameter
- zur Nutzung eines Auswahldienstes f&uuml;r eine B&uuml;rgerkartenumgebung
- (BKU). Wird das Element nicht angegeben, dann wird die lokale
- B&uuml;rgerkartenumgebung auf <tt>http://localhost:3495/http-security-layer-request</tt> verwendet. </p>
-<p>Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche
- Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterst&uuml;tzt
- die Werte <tt>HTMLComplete</tt> (vollst&auml;ndige HTML-Auswahl)
- und <tt>HTMLSelect</tt> (HTML-Code f&uuml;r Auswahl) [<a href="../bku-auswahl.20030408.pdf">"Auswahl
- von B&uuml;rgerkartenumgebungen"</a>, Arno Hollosi]. </p>
-<p>Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die
- Verbindung zum Auswahldienst (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>),
- jedoch kann das Kind-Element <tt>ClientKeyStore</tt> nicht angegeben
- werden. </p>
-<p id="AuthTemplates"> <b>AuthComponent/Templates</b> <br />
- Das optionale Element <tt>Templates</tt> kann genau einmal vorkommen, um
- das Aussehen der Seiten &quot;Auswahl der B&uuml;rgerkartenumgebung&quot; sowie
- &quot;Anmeldung mit B&uuml;rgerkarte&quot; anzupassen. Des Weiteren k&ouml;nnen die Templates zur Anmeldung mit Online-Vollmachten angepasst werden. Die hier
- spezifizierten (globalen) Templates haben Priorit&auml;t gegen&uuml;ber Templates,
- die in der aufrufenden URL (vgl. <a href="id-anwendung_1.htm" target="_new">Aufruf von MOA-ID-AUTH</a>)
- &uuml;bergeben werden, haben jedoch Nachrang gegen&uuml;ber in
- der Konfigurationsdatei f&uuml;r eine Online-Applikation individuell definierte (lokale)
- Templates (siehe <a href="#OnlineApplication/AuthComponent/Templates" target="_new"> OnlineApplication/AuthComponent/Templates</a>).
- Das hei&szlig;t, sind in der Konfigurationsddatei f&uuml;r eine Online-Applikation lokale
- Templates definiert (Element <tt>OnlineApplication/AuthComponent/Templates</tt>), so werden
- die als global spezifizierten Templates (<tt>AuthComponent/Templates</tt>) f&uuml;r diese
- OnlineApplikation ignoriert, jedoch f&uuml;r alle anderen Online-Applikationen
- verwendet. Templates in der aufrufenden URL werden demnach nur mehr dann
- herangezogen, wenn in der Konfigurationsdatei weder globale (f&uuml;r alle
- Online-Applikationen g&uuml;ltig) noch lokale (Templates je Online-Applikation)
- spezifiziert sind. Hinweis: Die Template zur Anmeldung mit Online-Vollmachten k&ouml;nnen nicht &uuml;ber die URL angegeben werden.</p>
-<p>Das <tt>Templates</tt>-Element hat die zwei Kindelemente <tt>BKUSelectionTemplate</tt>und <tt>Template. </tt>Jedes dieser
- zwei Elemente kann genau einmal vorkommen oder fehlen.
- Das Kindelement <tt>BKUSelectionTemplate</tt> spezifiziert ein Template
- zur Gestaltung der Seite &quot;Auswahl der B&uuml;rgerkartenumgebung&quot;,
- w&auml;hrend das Kindelement <tt>Template</tt> die Seite
- &quot;Anmeldung mit B&uuml;rgerkarte&quot; referenziert. Dies beiden Elemente haben genau ein Attribut namens <tt>URL</tt>,
- das die Lage des Templates im Form einer URL beschreibt.
- Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die
- MOA-ID Konfigurationsdatei befindet, interpretiert. Bei Templates die &uuml;ber das Protokoll https referenziert werden, muss vor dem Start des Tomcat ein Truststore angegeben werden, das die notwendigen vertrauensw&uuml;rdigen Zertifikate enth&auml;lt. Siehe dazu die Parameter in den vorbereiteten Startdateien <tt>startTomcat.bat</tt> und <tt>tomcat-start.sh</tt>. </p>
-<p>Richtlinien zur Struktur der Templates k&ouml;nnen der
- MOA-ID-Spezifikation bzw. dem Abschnitt <a href="id-anwendung_1.htm" target="_new">Aufruf von MOA-ID-AUTH</a> dieses Handbuches entnommen werden. </p>
-<p id="SecurityLayer"> <b>AuthComponent/SecurityLayer</b> <br />
- Das Element <tt>SecurityLayer</tt> enth&auml;lt Parameter
- zur Nutzung des Security-Layers. </p>
-<p>Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine
- Transformation, die f&uuml;r die Erstellung der Signatur des
- AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt> des Security-Layers integriert werden muss. Mehrere unterschiedliche
- Implementierungen des Security-Layer k&ouml;nnen durch die
- Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterst&uuml;tzt
- werden. </p>
-<p>Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf
- eine Datei, die das globale Element <tt>TransformsInfo</tt> vom Typ <tt>TransformsInfo</tt> enth&auml;lt. Die Angabe erfolgt
- relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser
- Datei muss UTF-8 sein. </p>
-<p><a href="examples/TransformsInfoAuthBlockTable_DE.xml">Beispiel f&uuml;r
- eine TransformsInfo-Datei</a></p>
-<p id="MOA-SP"> <b>AuthComponent/MOA-SP</b> <br />
- Das Element <tt>MOA-SP</tt> enth&auml;lt Parameter zur Nutzung
- von MOA-SP. MOA-SP wird f&uuml;r die &uuml;berpr&uuml;fung
- der Signatur der Personenbindung und des AUTH-Blocks verwendet. <br />
- Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben,
- dann wird MOA-SP &uuml;ber das Webservice angesprochen.</p>
-<p> Wird das Kind-Element <tt>ConnectionParameter</tt> nicht angegeben so wird eine MOA-ID beiligende Version von
- MOA-SP direkt &uuml;ber das Java-API angesprochen. In diesem
- Fall muss das System-Property auf die verwendete Konfigurationsdatei
- von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei
- ist in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml</tt> enthalten. </p>
-
- <p><b><i>Hinweis:</i></b><i> MOA-SP muss entsprechend konfiguriert
- werden - siehe hierzu Abschnitt <a href="#sp-config">Konfiguration
- von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP
- finden sie in der Distribution von MOA-SP/SS beiligenden
- Dokumentation im Abschnitt 'Konfiguration'.<br>
-</i></p>
- <p>Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt> spezifiziert eine TrustProfileID, die f&uuml;r den <tt>VerifyXMLSignatureRequest</tt> zur &Uuml;berpr&uuml;fung der Signatur der Personenbindung
- verwendet werden muss. Diese TrustProfileID muss beim
-verwendeten MOA-SP Modul konfiguriert sein.</p>
-<p>Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt> und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt> spezifizieren eine TrustProfileID und eine ID f&uuml;r
- ein Transformationsprofil, die f&uuml;r den <tt>VerifyXMLSignatureRequest</tt> zur &uuml;berpr&uuml;fung der Signatur des Auth-Blocks
- verwendet werden m&uuml;ssen. Diese TrustProfileID muss
-beim verwendeten MOA-SP Modul konfiguriert sein.</p>
-
-<p id="IdentityLinkSigners"> <b>AuthComponent/IdentityLinkSigners</b> <br />
- Dieses Element gibt an von welchen Signatoren die Signatur
- des IdentityLink erstellt werden musste damit der IdentityLink
- akzeptiert wird. F&uuml;r jeden Signator muss der <tt>X509SubjectName</tt> nach RFC 2253 spezifiziert werden. </p>
-<p><a href="examples/IdentityLinkSigners.txt">Beispiel</a><br />
- <br />
- <b>Anmerkung:</b> Ab Version 1.4 ist dieses Element nicht mehr verpflichtend notwendig, da die
- Berechtigung von Zertifikaten zum Signieren von Personenbindungen ab Februar
- 2007 &uuml;ber die Zertifikatseigenschaft "Eigenschaft zur Ausstellung von Personenbindungen"
- (OID: 1.2.40.0.10.1.7.1) gepr&uuml;ft wird.
- Der Namens-Check des alten Zertifikats wird fix in MOA-ID integriert, sodass das <tt>IdentityLinkSigners</tt>-Element in der Konfiguration &uuml;berfl&uuml;ssig wird. </p>
-
-<p id="VerifyInfoboxesAuth"> <b>AuthComponent/VerifyInfoboxes</b> <br />
- Ab Version 1.4 bietet MOA-ID die M&ouml;glichkeit einer erweiterten Infobox-Validierung,
- das hei&szlig;t, es k&ouml;nnen neben der Personenbindung auch weitere ausgelesene Infoboxen
- validiert werden. Die f&uuml;r die Validierung der Infoboxen notwendigen Parameter
- k&ouml;nnen &uuml;ber die Konfigurationsdatei durch das <tt>VerifyInfoboxes</tt> Element sowohl <a href="#VerifyInfoboxesAuth">global</a> als auch <a href="#OnlineApplication/AuthComponent/VerifyInfoboxes">lokal</a> je Online-Applikation gesetzt werden. MOA-ID &uuml;bergibt diese Parameter der
- Applikation, die f&uuml;r die Verifikation des Inhaltes der jeweilgen von der BKU
- &uuml;bermittelten Infobox verantwortlich ist. Im Folgenden wird eine derartige
- Applikation als <tt>Pr&uuml;fapplikation</tt> bezeichnet.
-<p>Das <tt>Verifyinfoboxes</tt> Element ist optional und kann fehlen,
- wenn keine Infoboxen au&szlig;er der der Personenbindung validiert werden m&uuml;ssen.
- Das <tt>VerifyInfoboxes</tt>-Element hat folgende Kind-Elemente:
-<ul>
- <li id="DefaultTrustProfileVI"><tt>DefaultTrustProfile</tt>: Dieses optionale
- Element kann nur einmal vorkommen und spezifiziert ein Trust-Profil, das
- von einer <tt>Pr&uuml;fapplikation</tt> zur Validierung einer Infobox
- herangezogen werden kann, wenn f&uuml;r diese Infobox kein eigenes <a href="#TrustProfileVI">Trust-Profil</a> gesetzt wurde. Es hat genau ein
- Kindelement namens <tt>TrustProfileID</tt>, das die ID eines in MOA-SP
- konfigurierten Trust-Profiles enth&auml;lt. <br />
- <b>Anmerkung:</b> Das Trust-Profil f&uuml;r die <a href="#trustProfile">Personenbindung</a> darf <b>nicht</b> zur Validierung anderer Infoboxen verwendet werden. Das Trust-Profil f&uuml;r
- die <a href="#trustProfile">B&uuml;rgerkarte</a> <b>soll</b> nur dann zur Validierung
- anderer Infoboxen verwendet werden, wenn die zur Verifikation der Zertifikate ben&ouml;tigten
- Wurzelzertifikate bereits im entsprechenden Trust-Store enthalten sind. (vgl.
- MOA-ID Spezifikation, Abschnitt 4.6). </li>
- <li id="InfoboxVI"><tt>Infobox</tt>: Dieses Element kann beliebig oft vorkommen
- und kapselt die Parameter, die f&uuml;r die Validierung einer Infobox an die
- jeweilige Pr&uuml;fapplikation &uuml;bergeben werden. <br />
- Das <tt>Infobox</tt>-Element hat folgende Attribute:
- <ul>
- <li id="IdentifierVI"><tt>Identifier:</tt> Dieses Attribut muss vorhanden sein und gibt
- den <tt>Namen</tt> der Infobox an. Er muss dabei exakt dem <tt>Bezeichner</tt> der jeweiligen zu validierenden Infobox aus der BKU entsprechen, also
- zum Beispiel<tt> EHSPToken</tt> f&uuml;r die <tt>GDAToken</tt>-Infobox. <br />
- </li>
- <li id="requiredVI"><tt>required:</tt> Dieses Attribut vom Typ <tt>boolean</tt> bestimmt, ob MOA-ID den Inhalt der entsprechenden Infobox
- f&uuml;r die Anmeldung zwingend ben&ouml;tigt. Ist es auf <tt>true</tt> gesetzt, und wird der entsprechende Infobox-Inhalt nicht von der BKU
- &uuml;bermittelt, so bricht MOA-ID den Anmeldevorgang mit einer Fehlermeldung
- ab. <br />
- Fehlt dieses Attribut, so wird als Defaultwert <tt>false</tt> gesetzt. <br />
- </li>
- <li id="provideStammzahlVI"><tt>provideStammzahl:</tt> Dieses Attribut vom Typ <tt>boolean</tt> bestimmt, ob die Pr&uuml;fapplikation die Stammzahl aus der
- Personenbindung erhalten darf. Fehlt dieses Attribut, so wird als Defaultwert <tt>false</tt> gesetzt. <br />
- <b>Anmerkung</b>: Das Attribut steht in keinem Zusammenhang zum gleichnamigen
- Attribut <a href="#provideStammzahlOA">OnlineApplication/AuthComponent/@provideStammzahl</a>,
- das angibt ob die Stammzahl an die <i>Online-Applikation</i> weitergegeben werden darf. </li>
- <li id="provideIdentityLinkVI"><tt>provideIdentityLink:</tt> Dieses Attribut vom Typ <tt>boolean</tt> bestimmt, ob die Pr&uuml;fapplikation die Personenbindung erhalten
- soll. Hat es den Wert <tt>true</tt>, so wird ein Klone des Wurzel-Elements der Personenbindung
- an die Pr&uuml;fapplikation &uuml;bergeben, wobei zu beachten ist, dass die
- darin enthaltene Stammzahl auf einen leeren String gesetzt wird, falls das
- Attribut <a href="#provideStammzahlVI">provideStammzahl</a> auf <tt>false</tt> gesetzt ist.
- Fehlt das <tt>provideIdentityLink</tt>-Attribut, so wird als Defaultwert <tt>false</tt> gesetzt. <br />
- <b>Anmerkung 1</b>: Das Attribut steht in keinem Zusammenhang zum gleichnamigen
- Attribut <a href="#provideIdentityLinkOA">OnlineApplication/AuthComponent/@provideIdentityLink</a>,
- das angibt ob die <i>Online-Applikation</i> die Personenbindung erhalten
- soll. <br />
- <b>Anmerkung 2</b>: Der Pr&uuml;fapplikation werden defaultm&auml;&szlig;ig der Vorname,
- der Familienname, das Geburtsdatum, der Typ der Stammzahl, die Stammzahl
- (konfigurierbar) und die &ouml;ffentlichen Schl&uuml;ssel aus der Personenbindung
- &uuml;bergeben. Das Attribut <tt>provideIdentityLink</tt> sollte deshalb
- wirklich nur dann auf <tt>true</tt> gesetzt werden, wenn von der
- Pr&uuml;fapplikation noch andere Daten aus der Personenbindung ben&ouml;tigt
- werden. </li>
- </ul>
- Das <tt>Infobox</tt>-Element hat folgende Kind-Elemente:
- <ul>
- <li id="FriendlyNameVI"><tt>FriendlyName</tt>: Das Element ist optional und
- enth&auml;lt einen Namen, der von MOA-ID zur Anzeige von, die jeweilige Infobox
- betreffende, Fehlermeldungen im Browser verwendet wird. Im Regelfall wird man
- hier den deutschen Namen der Infobox setzen, also z.B.<tt> GDAToken</tt> f&uuml;r die <tt>EHSPToken</tt>-Infobox. <br />
- Fehlt dieses Element, so wird f&uuml;r Fehlermeldungen der Wert des <a href="#IdentifierVI">Identifier</a>-Attributes verwendet. </li>
- <li id="TrustProfileVI"><tt>TrustProfileID</tt>: Das Element ist optional und
- bezeichnet ein in MOA-SP konfiguriertes Trust-Profil, das von MOA-ID
- f&uuml;r die Validierung der Infobox verwendet wird.
- Dabei ist wieder zu beachten, dass das Trust-Profil f&uuml;r die <a href="#trustProfile">Personenbindung</a> <b>nicht</b> zur Validierung anderer Infoboxen verwendet werden darf, und das Trust-Profil f&uuml;r
- die <a href="#trustProfile">B&uuml;rgerkarte</a> nur dann zur Validierung
- anderer Infoboxen verwendet werden <b>soll</b>, wenn die zur Verifikation der
- Zertifikate ben&ouml;tigten Wurzelzertifikate bereits im entsprechenden
- Trust-Store enthalten sind. (vgl. MOA-ID Spezifikation, Abschnitt 4.6). <br />
- Fehlt dieses Element, so wird das <a href="#DefaultTrustProfileVI">Default-Trust-Profil</a> verwendet. Ist dieses auch nicht konfiguriert, so wird f&uuml;r die
- Validierung der entsprechenden Infobox keine Zertifikatspr&uuml;fung
- notwendig sein. </li>
- <li id="ValidatorClassVI"><tt>ValidatorClass</tt>: Das Element ist optional
- und bezeichnet den Namen der Klasse (voller Package-Name), die von MOA-ID
- zur Validierung der Infobox geladen werden soll. Fehlt dieses Element,
- so wird MOA-ID versuchen, eine Default-Klasse zu laden, deren Namen aus
- dem <a href="#IdentifierVI">Identifier</a>-Attribut der Infobox abgeleitet
- wird (vgl. MOA-ID-Spezifikation, Abschnitt 4.7.2.3, <tt>Zuordnung eines InfoboxReadResponse zu einer implementierenden Klasse</tt>). <br />
- <b>Anmerkung</b>: Im Regelfall wird dieses Element fehlen, da bei der
- Entwicklung einer Infobox-Pr&uuml;fapplikation der Default-Klassennamen
- verwendet werden sollte. Nur wenn es verschiedene Pr&uuml;fapplikationen
- f&uuml;r eine Infobox gibt, wird man das <tt>ValidatorClass</tt> verwenden, um eine andere als die Default-Applikation zu laden. </li>
- <li id="SchemaLocationsVI"><tt>SchemaLocations</tt>: Das Element ist optional
- und referenziert XML-Schemas, die von der Pr&uuml;fapplikation zum
- validierenden Parsen von Infoboxen verwendet werden k&ouml;nnen. Das
- Element hat beliebig viele <tt>Schema</tt>-Kindelemente, dessen Attribute <tt>namespace</tt> und <tt>schemaLocation</tt> jeweils die Namespace-URI
- und den Ort (URI) des entsprechenden Schemas bezeichnen. Relative URIs im <tt>schemaLocation</tt>-Attribut sind dabei relativ zum Verzeichnis der
- MOA-ID-Konfigurationsdatei zu interpretieren. <br />
- Beispiel: <br />
- <pre>
- &lt;SchemaLocations&gt;
- &lt;Schema namespace="http://ns1.ns1" schemaLocation="schemas/ns1.xsd"/&gt;
- &lt;Schema namespace="http://ns2.ns2" schemaLocation="schemas/ns2.xsd"/&gt;
- &lt;/SchemaLocations>
- </pre>
- Weitere M&ouml;glichkeiten zur &Uuml;bergabe von XML-Schemas an die
- Pr&uuml;fapplikation k&ouml;nnen in der MOA-ID-Spezifikation im
- Abschnitt 4.7.2, <tt>Erweiterte Infobox&uuml;berpr&uuml;fung</tt>, nachgelesen werden. </li>
- <li id="ApplicationSpecificParametersVI"><tt>ApplicationSpecificParameters</tt>:
- Das Element ist optional und nimmt Infobox-kontext-spezifische Parameter
- auf. <br />
- Da MOA-ID die zus&auml;tzlichen zur Personenbindung abgefragten Infoboxen
- (bzw. deren Inhalte) nicht a priori kennt, ist es unm&ouml;glich vorherzusehen,
- welche Parameter eine Pr&uuml;fapplikation zum Validieren einer Infobox
- ben&ouml;tigt. Die Konfiguration sieht daher das Element <tt>ApplicationSpecificParameters</tt> vor, um einer bestimmten
- Pr&uuml;fapplikation kontext spezifische Parameter zu &uuml;bermitteln.
- Dieses Element wird vollst&auml;ndig an die Pr&uuml;fapplikation
- weitergegeben, und es obliegt der Pr&uuml;fapplikation die Kindelemente
- des <tt>ApplicationSpecificParameters</tt>-Element zu extrahieren und zu
- interpretieren. <br />
- Beispiel: <br />
- <pre>
- &lt;ApplicationSpecificParameters&gt;
- &lt;Parameter1&gt;content1&lt;/Parameter1&gt;
- &lt;Parameter2&gt;content2&lt;/Parameter2&gt;
- &lt;Parameter3&gt;
- &lt;Parameter3a&gt;content3a&lt;/Parameter3a&gt;
- &lt;Parameter3b&gt;content3b&lt;/Parameter3b&gt;
- &lt;/Parameter3&gt;
- &lt;/ApplicationSpecificParameters&gt;
- </pre>
- </li>
- </ul>
- </li>
-</ul>
- <p><br />
- Eine Beispielkonfiguration finden sie am Ende das Abschnitts <a href="#VerifyInfoboxesOA">OnlineApplication/AuthComponent/VerifyInfoboxes</a>. <br />
- </p>
-<p id="ForeignIdentitiesAuth"><b>AuthComponent/ForeignIdentities</b> <br />
- Ab Version 1.4.7 bietet MOA-ID die M&ouml;glichkeit der Nutzung von ausl&auml;ndischen Karten. Hierf&uuml;r ist ein Stammzahlenregister-Gateway n&ouml;tig, das einen entsprechenden Zugang zum Stammzahlenregister bereitstellt. Es ist hierzu ein entsprechender <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> zu definieren, der die Zugangsdaten zum Gateway bereith&auml;lt (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>). In der Default-Konfiguration ist der Zugang zum Stammzahlenregister-Gateway bereits aktiviert. Es muss nur noch das Client-Zertifikat f&uuml;r die SSL-Verbinung zum Gateway angegeben werden. Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben.</p>
- <p><b>AuthComponent/ForeignIdentities/STORK</b> <br />
- Ab MOA Release 1.5.2 ist es auch m&ouml;glich, ausl&auml;ndische B&uuml;rger &uuml;ber <a href="http://eid-stork.eu/" target="_new">STORK</a> zu authentifizieren. Da auch f&uuml;r diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angef&uuml;hrten Ausf&uuml;hrungen hinsichtlich <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> auch f&uuml;r STORK. F&uuml;r eine STORK Authentifizierung sind jedoch noch weitere Konfigurationen notwendig. Folgende Eintr&auml;ge m&uuml;ssen f&uuml;r eine STORK Authentifizierung hier noch konfiguriert werden:
- <ul>
- <li>C-PEPS Informationen <br />
- </li>
- <li>KeyStore zum SAML Signatur-Zertifikat <br />
- </li>
- <li>MOA-SP TrustProfil zur SAML Signatur-Validierung <br />
- </li>
-</ul>
- <p><b>AuthComponent/ForeignIdentities/STORK/C-PEPS</b> <br />
- Unter diesem Konfigurationselement k&ouml;nnen die Verbindungsparameter zu den jeweiligen C-PEPS (Citizen Country - PEPS) der europ&auml;ischen L&auml;nder, die auch STORK unterst&uuml;tzen, angegeben werden. F&uuml;r eine erfolgreiche C-PEPS Konfiguration muss der ISO-Country Code des jeweiligen Landes und die dazugeh&ouml;rige C-PEPS URL angegeben werden. In Ausnahmenf&auml;llen m&uuml;ssen bei einzelnen C-PEPS l&auml;nderspezifische Attribute abgefragt werden, dies funktioniert durch zus&auml;tzliche Angabe eines <tt>&lt;stork:RequestedAttribute&gt;</tt> Elements. Die C-PEPS Konfigurationen sind in den der MOA-Release beliegenden Beispielkonfigurationen bereits vorkonfiguriert. Sollte sich an diesen Konfigurationen etwas &auml;ndern, werden diese via JoinUp (<a href="https://joinup.ec.europa.eu/software/moa-idspss/home" target="_new">MOA@JoinUp</a>) bzw. MOA-Mailingliste ver&ouml;ffentlicht. Im Folgenden wird eine Beispielkonfiguration kurz veranschaulicht.
- <pre>
-&lt;C-PEPS countryCode="PT" URL="https://eu-id.cartaodecidadao.gov.pt/PEPS/ColleagueRequest"/&gt;
-&lt;C-PEPS countryCode="SI" URL="https://peps.mju.gov.si/PEPS/ColleagueRequest"&gt;
- &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/fiscalNumber" <br> isRequired="true" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/&gt;
-&lt;/C-PEPS&gt; </pre>
-<p>Details zur Angabe von <tt>&lt;stork:RequestedAttribute&gt;</tt> bzw. welche Attribute von STORK &uuml;berhaupt unterst&uuml;tzt werden, wird in der Konfiguration zur Online Application angegeben (<a href="#OnlineApplication/AuthComponent/STORK">hier</a>).</p>
-<p><b>AuthComponent/ForeignIdentities/STORK/SAMLSigningParameter</b> <br />
- Dieser Konfigurationseintrag enth&auml;lt Informationen dazu, mit welchem Zertifikat ausgehende STORK SAML Nachichten signiert werden und welches MOA-SP TrustProfil zur Signatur&uuml;berpr&uuml;fung von empfangenen STORK SAML Nachrichten herangezogen werden soll.
- In der Konfiguration wird eine Unterscheidung zwischen Signaturerstellungs- und Signaturverifizierungsparameter getroffen:
-<ul>
- <li><tt>&lt;SignatureCreationParameter&gt;</tt> <br />
- </li>
- <li><tt>&lt;SignatureVerificationParameter&gt;</tt> <br />
- </li>
-</ul>
-<p>Der <tt>&lt;SignatureCreationParameter&gt;</tt> kapselt dabei Informationen, welche zum Signieren von ausgehenden STORK SAML Nachrichten ben&ouml;tigt werden. Im Wesentlichen sind das Informationen zu dem KeyStore, welcher das Schl&uuml;sselpaar zum Signieren ausgehender STORK SAML Nachrichten beinhaltet. Der entsprechende Konfigurationseintrag sieht wie folgt aus:</p>
-<pre>
-&lt;SignatureCreationParameter&gt;
- &lt;KeyStore password="Keystore Pass"&gt;file_to_keystore&lt;/KeyStore&gt;
- &lt;KeyName password="Keystore Name"&gt;signing_key_name&lt;/KeyName&gt;
-&lt;/SignatureCreationParameter&gt;
-</pre>
-Die folgenden Werte sind dabei anzugeben bzw. durch echte Werte auszutauschen:
-<ul>
- <li><tt>file_to_keystore</tt>: Relativer Pfad zum KeyStore (Java oder PKCS#12), welcher das Schl&uuml;sselpaar zum Signieren ausgehender STORK SAML Nachrichten speichert <br />
- </li>
- <li><tt>Keystore Pass</tt>: Passwort zum angegebenen KeyStore <br />
- </li>
- <li><tt>signing_key_name</tt>: Alias Name des Schl&uuml;ssels, welcher zum Signieren verwendet werden soll <br />
- </li>
- <li><tt>Key Pass</tt>: Passwort zum angegebenen Schl&uuml;ssel <br />
- </li>
-</ul>
-<p>Der <tt>&lt;SignatureCreationParameter&gt;</tt> kapselt dabei Informationen, die f&uuml;r eine Signaturpr&uuml;fung von eingehenden STORK SAML Nachrichten ben&ouml;tigt werden. Im Wesentlich ist das die Angabe des MOA-SP TrustProfils, welches die vertrauensw&uuml;rdigen Zertifikate der europ&auml;ischen C-PEPS enth&auml;lt. Der entsprechende Konfigurationseintrag sieht daher wie folgt aus:</p>
-<pre>
-&lt;SignatureVerificationParameter&gt;
- &lt;TrustProfileID&gt;C-PEPS&lt;/TrustProfileID&gt;
-&lt;/SignatureVerificationParameter&gt;
-</pre>
-Die folgenden Werte sind dabei anzugeben:
-<ul>
- <li><tt>TrustProfile</tt>: Dieser Eintrag gibt jenes TrustProfil von MOA-SP an, welches zur Signaturpr&uuml;fung von eingehenden STORK SAML Nachrichten herangezogen werden soll. Vorkonfiguriert sind die beiden TrustProfiles <tt>C-PEPS</tt> (Produktive C-PEPS Zertifikate) und <tt>C-PEPS-Test</tt> (Test C-PEPS Zertifikate). Sollte es auch hier zu &Auml;nderungen kommen, werden diese auch via JoinUp (<a href="https://joinup.ec.europa.eu/software/moa-idspss/home" target="_new">TODO MOA@JoinUp</a>) bzw. MOA-Mailingliste ver&ouml;ffentlicht. <br />
- </li>
-</ul>
-<p id="AuthComponent_OnlineMandates">
-<b>AuthComponent/OnlineMandates</b>
-<br />
-Ab Version 1.5.0 bietet MOA-ID die M&ouml;glichkeit der Nutzung von Online-Vollmachten f&uuml;r Anwendungen aus dem &ouml;ffentlichen Bereich. Hierf&uuml;r ist ein Online-Vollmachten-Service n&ouml;tig. Es ist hierzu ein ensprechender <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> zu definieren, der die Zugangsdaten zum Online-Vollmachten-Service bereith&auml;lt (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>). In der Default-Konfiguration ist der Zugang zum Online-Vollmachten-Service bereits aktiviert. Es muss nur noch das Client-Zertifikat f&uuml;r die SSL-Verbinung zum Service angegeben werden. Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben.<br />
-Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu aktivieren, m&uuml;ssen Sie das Vollmachten Profil angeben - siehe <a href="#OnlineApplication/AuthComponent/Mandates">hier</a>.
-</p>
-<p> <b>ProxyComponent</b> <br />
- <tt>ProxyComponent</tt> enth&auml;lt Parameter, die
- nur die MOA-ID Proxykomponente betreffen. Das Element
- ist optional und muss nicht verwendet werden, wenn auf
- dem Server keine MOA-ID Proxykomponente installiert
- wird. </p>
-<p> Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element <tt>AuthComponent</tt>, das die Verbindung zur Authentisierungs-komponente
- beschreibt. </p>
-<p>Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
- &uuml;ber ein Webservice auf, dann muss das Element <tt>ConnectionParameter</tt> spezifiziert werden. </p>
-<p> Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
- &uuml;ber das API auf, dann wird das Element <tt>ConnectionParameter</tt> nicht spezifiziert. </p>
-<p id="OnlineApplication"> <b>OnlineApplication</b> <br />
- F&uuml;r jede Online-Applikation, die &uuml;ber MOA-ID
- authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>.
- Die Parameter betreffen teils die MOA-ID Authentisierungskomponente,
- teils die MOA-ID Proxykomponente, teils beide. </p>
-<p>Das ab Version 1.3 optionale Attribut <tt>OnlineApplication/@type</tt> spezifiziert den Typ der OnlineApplikation und kann
- die Werte <tt>publicService</tt> f&uuml;r eine Applikation
- aus dem &ouml;ffentlichen Bereich und <tt>businessService</tt> f&uuml;r eine Anwendung aus dem privatwirtschaftlichen Bereich annehmen.
- Ab Version 1.4 kann im Modus <tt>businessService</tt> ein zus&auml;tzliches
- logisches Attribut <tt>OnlineApplication/@calculateHPI</tt> angegeben werden.
- Dadurch wird im Falle von <tt>calculateHPI="true"</tt> im privatwirtschaftlichen
- Bereich zur Identifikation der Health Professional Identifier HPI anstatt des wbPKs (siehe <a href="#OnlineApplication/AuthComponent/IdentificationNumber"> OnlineApplication/AuthComponent/IdentificationNumber</a>) berechnet
- und zur Anmeldung weiterverwendet.
- Ist dieses Attribut nicht gesetzt, so wird der Typ <tt>publicService</tt> vorausgesetzt. </p>
-<p>Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt> entspricht dem URL-Pr&auml;fix der nach au&szlig;en
- sichtbaren Dom&auml;ne der Online-Applikation, welcher
- von der MOA-ID Proxykomponente durch den URL-Pr&auml;fix
- der wirklichen Dom&auml;ne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>)
- ersetzt wird. Es dient als Schl&uuml;ssel zum Auffinden
- der Konfigurationsparameter zur Online-Applikation. </p>
-<p>Mit dem Attribut <tt>OnlineApplication/@friendlyName</tt> kann eine benutzerfreundlicher Name f&uuml;r die Online-Applikation angegeben werden. Dieser Name scheint beim Login des Benutzer auf.</p>
-<p>Das Attribut <tt>OnlineApplication/@keyBoxIdentifier</tt> gibt das Schl&uuml;sselpaar an, welches von der B&uuml;rgerkartenumgebung
- zum Signieren des Auth Blocks verwendet wird. M&ouml;gliche
- Werte: <tt>CertifiedKeypair </tt>sowie<tt> SecureSignatureKeypair.</tt></p>
-<p>Das Attribut <tt>OnlineApplication/@target</tt> gibt einen konkreten Gesch&auml;ftsbereich f&uuml;r eine Online-Applikation vor. D.h. es wird der Target-Parameter aus dem Request mit diesem Wert &uuml;berschrieben. Zus&auml;tzlich kann noch ein benutzerfreundlicher Name mittels des Attributs <tt>OnlineApplication/@targetFriendlyName</tt> f&uuml;r den Gesch&auml;ftsbereich angegeben werden. Beide Attribute k&ouml;nnen nur bei einer Online-Applikation f&uuml;r den &ouml;ffentlichen Bereich angegeben werden.</p>
-<p>Das Element <tt>OnlineApplication</tt> hat optional
- zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>. </p>
-<p id="OnlineApplication/AuthComponent"> <b>OnlineApplication/AuthComponent</b> <br />
- Das Element <tt>OnlineApplication/AuthComponent</tt> muss verwendet werden wenn auf dem Server die Authentisierungskomponente
- installiert wird. Es enth&auml;lt Parameter, die
- das Verhalten der Authentisierungskomponente bez&uuml;glich
- der Online-Applikation konfiguriert. </p>
-<p>Das optionale Attribut <tt>slVersion</tt> definiert die Version des
- verwendeten SecurityLayer und damit den Namespace aller
- Requests, die von MOA-ID an die B&uuml;rgerkartenumgebung
- geschickt werden. Dieses Attribut kann entweder den Wert <tt>1.1</tt> oder <tt>1.2</tt> annehmen. Fehlt das Attribut, so wird als
- Defaultwert <tt>1.1</tt> gesetzt. <br />
- Wurde als Typ der Online-Applikation
- der Wert <tt>businessService</tt> (vgl. Attribut <tt>OnlineApplication/@type</tt>)
- spezifiziert, so wird das Attribut <tt>slVersion</tt> ignoriert
- und immer der Wert <tt>1.2</tt> verwendet, da die f&uuml;r
- Applikationen aus dem privatwirtschaftlichen Bereich notwendige
- Berechnung des <tt>wirtschaftsbereichsspezifischen Personenkennzeichens</tt> (<tt>wbPK</tt>) erst ab SecurityLayer Version <tt>1.2</tt> m&ouml;glich ist. </p>
-<p>Das Attribut <tt id="provideStammzahlOA">provideStammzahl</tt> bestimmt,
- ob die Stammzahl in den Anmeldedaten aufscheint
- oder ob der Wert ausgeblendet (d.h. auf den Leerstring gesetzt)
- wird. Die Attribute <tt>provideAUTHBlock</tt> und <tt id="provideIdentityLinkOA">provideIdentityLink</tt> steuern, ob die
- Anmeldedaten den Auth-Block bzw. die Personenbindung enthalten.
- Ab Version 1.3 kann das Attribut <tt>provideCertificate</tt> verwendet werden, um das Signatorzertifikat in die
- Anmeldedaten aufzunehmen.
- Alle Attribute sind optional und haben den Default-Wert <tt>false</tt>. <br>
- Das Attribut <tt id="provideStammzahlOA2">provideFullMandatorData</tt> bestimmt ob bei einer Vollmachten-Anmeldung die vollst&auml;ndigen Vollmacht in der SAML Assertion mitgegeben wird oder nur die Basisdaten wie Name, Geburtsdatum und bPK des Vertreters (bzw. Organwalter/PV) sowie Name, Geburtsdatum und bPK (bzw. Name und Stammzahl bei juristischen Personen) des Vertretenen in der Assertion &uuml;bermittelt. Bei <tt id="provideStammzahlOA3">provideFullMandatorData=false</tt> werden nur die Basisdaten &uuml;bermittelt (Defaulteinstellung). Bei <tt id="provideStammzahlOA4">provideFullMandatorData=true</tt> wird zus&auml;tzlich die gesamte Vollmacht &uuml;bergeben.<br>
- Das Attribut <tt id="provideStammzahlOA5">useUTC</tt> bestimmt ob IssueInstant in der SAML Assertion als UTC (2012-01-26T18:38:35Z, <tt id="provideStammzahlOA8">useUTC=true</tt>) oder dem Default-Format (z.B.: 2012-01-26T19:38:35+01:00, <tt id="provideStammzahlOA9">useUTC=false</tt>) angegeben wird. </p>
-<p><b>Anmerkung</b>: Das Attribut <tt>provideStammzahl</tt> steht in keinem
- Zusammenhang zum gleichnamigen Attribut <a href="#provideStammzahlVI">VerifyInfoboxes/@provideStammzahl</a>,
- das angibt ob die Stammzahl an eine <i>Pr&uuml;fapplikation</i> weitergegeben
- werden darf. <b>Anmerkung</b>: Das Attribut <tt>provideIdentityLink</tt> steht in keinem
- Zusammenhang zum gleichnamigen Attribut <a href="#provideIdentityLinkVI">VerifyInfoboxes/@provideIdentityLink</a>,
- das angibt ob die Personenbindung an eine <i>Pr&uuml;fapplikation</i> weitergegeben werden soll. </p>
-<p id="OnlineApplication/AuthComponent/IdentificationNumber"> <b>OnlineApplication/AuthComponent/IdentificationNumber</b> <br />
- Das <tt>wirtschaftsbereichsspezifische Personenkennzeichen</tt> (<tt>wbPK</tt>)
- wird aus der auf der B&uuml;rgerkarte gespeicherten Stammzahl des B&uuml;rgers
- und der Stammzahl des Wirtschaftsunternehmens berechnet.
- Laut <a href="http://reference.e-government.gv.at/E-Government-Gesetz.394.0.html" target="_new">E-Governmentgesetz</a> darf die <i>Errechnung eines wbPK aus der Stammzahl nicht beim Auftraggeber eines
- privaten Bereichs durchgef&uuml;hrt werden</i> (vgl. E-GovGesetz &sect;12(1).4), und muss deshalb
- an die B&uuml;rgerkartenumgebung ausgelagert werden.
- Das <tt>OnlineApplication/AuthComponent/IdentificationNumber</tt> Element
- wird nun verwendet, um die Stammzahl des Wirtschaftsunternehmens zu spezifizieren,
- welche in weiterer Folge von MOA-ID an die B&uuml;rgerkartenumgebung &uuml;bergeben
-wird.
-<p>Dieses Element muss bei privatwirtschaftlichen Applikationen
- vorhanden sein und wird ignoriert, falls es im Kontext von Anwendungen aus
-dem &ouml;ffentlichen Bereich verwendet wird.
-<p>Das Element hat genau eines der folgenden m&ouml;glichen Kindelemente
- aus dem <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a> Namespace, die als einzigen Inhalt die jeweilige Stammzahl des Unternehmens enthalten:
-<ul>
- <li> Das Element <tt>pr:Firmenbuchnummer</tt> enth&auml;lt als einzigen Inhalt
- die Firmenbuchnummer des Unternehmens. </li>
- <li> Das Element <tt>pr:Vereinsnummer</tt> enth&auml;lt als einzigen Inhalt
- die Vereinsregisternummer des Unternehmens. </li>
- <li> Das Element <tt>pr:ERJPZahl</tt> enth&auml;lt als einzigen Inhalt eine
- Zahl aus dem Erg&auml;nzungsregister f&uuml;r nicht-nat&uuml;rliche Personen (CorporateBody). </li>
- <li> Das Element <tt>pr:ZMRzahl</tt> enth&auml;lt als einzigen Inhalt eine
- Stammzahl einer nat&uuml;rlichen in &Ouml;sterreich meldepflichtigen Person. </li>
-</ul>
-<p>Die Stammzahl ist jeweils ohne Pr&auml;fix anzugeben, also wird zum Beispiel
- die Firmenbuchnummer <tt>FN468924i</tt> folgenderma&szlig;en definiert: <br />
- <br />
-<tt>&lt;pr:Firmenbuchnummer&gt;468924i&lt;/pr:Firmenbuchnummer&gt;</tt> </p>
-<p> Leerzeichen werden ignoriert und im Falle einer Firmenbuchnummer werden
- f&uuml;hrende Nullen gel&ouml;scht und Bindestriche aus der Nummer entfernt. </p>
-<p> Beispiele:</p>
-<blockquote> <tt>468924 i</tt> wird zu <tt>468924i</tt><br />
- <tt>00468924</tt> wird zu <tt>468924i</tt><br />
-<tt>468924-i</tt> wird zu <tt>468924i</tt></blockquote>
-<p>Alternativ zu den oben angef&uuml;hrten Elementen aus dem <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a> Namespace kann auch das Element <tt>AnyNumber</tt> verwendet werden, um
- Stammzahlen zu spezifizieren, die nicht einer der vier oben aufgelisteten
-Kategorien zugeordnet werden k&ouml;nnen. </p>
-<p>Das Element <tt>AnyNumber</tt> hat genau ein Attribut namens <tt>Identifier</tt>,
- das das Pr&auml;fix der jeweiligen Stammzahl ent&auml;lt. Der Inhalt des
- Elements <tt>AnyNumber</tt> ist die Stammzahl selbst, wobei die selben Regeln
-wie oben gelten.</p>
-<p>Die Firmenbuchnummer aus obigem Beispiel k&ouml;nnte man nun beispielsweise mit Hilfe das Elements <tt>AnyNumber</tt> auch folgenderma&szlig;en definieren: <br>
- </br>
-<tt>&lt;AnyNumber Identifier="FN"&gt;468924i&lt;/AnyNumber&gt;</tt> </p>
-<p>Es sei aber nochmals daraufhingewiesen, dass f&uuml;r Stammzahlen der
- Kategorien <tt>Firmenbuchnummer</tt>, <tt>Vereinsnummer</tt>, <tt>ERJPZahl</tt> und <tt>ZMRzahl</tt> die vordefinierten Elemente aus
- dem <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20050214/" target="_new">PersonData</a> Namespace verwendet werden sollen. Das Element <tt>AnyNumber</tt> wurde haupts&auml;chlich in
- das Schema aufgenommen, um offen f&uuml;r m&ouml;gliche Erweiterungen zu sein.
- </p>
-</p>
-<p id="OnlineApplication/AuthComponent/Templates"> <b>OnlineApplication/AuthComponent/Templates</b> <br />
- Dieses Kindelement kann genau einmal vorkommen und entspricht in seiner Struktur dem
- Element <a href="#AuthTemplates" target="_new">AuthComponent/Templates</a>.
- Es kann verwendet werden, um Templates zur Gestaltung der Seiten
- &quot;Auswahl der B&uuml;rgerkartenumgebung&quot; und &quot;Anmeldung mit B&uuml;rgerkarte&quot; individuell f&uuml;r
- eine Online-Applikation zu definieren. Die hier definierten Templates haben
- Priorit&auml;t gegen&uuml;ber globalen Templates und Templates, die
-in der aufrufenden URL &uuml;bergeben werden. </p>
-
- <p id="OnlineApplication/AuthComponent/TransformsInfo"> <b>OnlineApplication/AuthComponent/TransformsInfo</b>
- <br />
- Dieses Kindelement kann mehrfach vorkommen und entspricht in seiner Struktur
- dem Element <tt>AuthComponent/SecurityLayer/TransformsInfo</tt>.
- Das Element kann verwendet werden, um f&uuml;r unterschiedliche
- Online-Applikationen unterschiedliche Transformationen zu spezifizieren.
- Alle &uuml;ber dieses Element definierten Transformationen haben
- Vorrang gegen&uuml;ber die durch <tt>AuthComponent/SecurityLayer/TransformsInfo</tt>
- angegebenen Transformationen. Das hei&szlig;t, ist f&uuml;r eine
- Online-Applikation das Kindelement <tt>AuthComponent/TransformsInfo</tt>
- vorhanden, so wird f&uuml;r diese Applikation die durch dieses Element
- spezifizierte Transformation verwendet (das Element kann nat&uuml;rlich
- mehrfach vorkommen, wodurch mehrere Transformationen bezeichnet werden).
- F&uuml;r alle Applkikationen, die kein Kindelement vom Typ
- <tt>AuthComponent/TransformsInfo</tt> enthalten, werden die unter
- <tt>AuthComponent/SecurityLayer/TransformsInfo</tt> spezifizierten
- &quot;Default-Transformationen&quot; verwendet. </p>
-<p>Dabei ist zu beachten, dass f&uuml;r jede definierte Transformation
- ein entsprechendes <tt>MOA-SP/VerifyAuthBlock/VerifyTransformsInfoProfileID</tt>
- Element vorhanden sein muss.</p>
- </p>
-
- <p id="VerifyInfoboxesOA"> <b>OnlineApplication/AuthComponent/VerifyInfoboxes</b>
- <br />
- Dieses optionale Element entspricht dem <a href="#VerifyInfoboxesAuth">VerifyInfoboxes</a>-Element
- aus der globalen AUTH-Komponente und &uuml;berschreibt teilweise die
- dort gesetzten Werte f&uuml;r die jeweilige Infobox pro Online-Applikation.
- Dabei gelten die folgenden Regeln:
-<p>Ist nur das globale <a href="#VerifyInfoboxesAuth">VerifyInfoboxes</a>-Element
- vorhanden, so gelten die dort definierten Parameter f&uuml;r <b>alle</b>
- Online-Applikationen. Ist kein globales Element vorhanden, so kann
- MOA-ID f&uuml;r alle Online-Applikation, in deren AUTH-Komponente
- ein <tt>VerifyInfoboxes</tt>-Element enthalten ist, die darin
- definierten Infoboxen &uuml;berpr&uuml;fen. F&uuml;r
- Online-Applikationen, in deren AUTH-Komponente kein
- <tt>VerifyInfoboxes</tt>-Element gesetzt ist, kann demnach keine
- andere Infobox als die der Personenbindung validiert werden.
- <br />
- Sind sowohl global (<tt>MOA-IDConfiguration/AuthComponent/VerifyInfoboxes</tt>)
- als auch lokal (<tt>OnlineApplication/AuthComponent/VerifyInfoboxes</tt>)
- in den Online-Applikationen Infobox-Validatoren konfiguriert, so verarbeitet
- MOA-ID die darin enthaltenen Parameter wie folgt:
-<ul>
- <li id="DefaultTrustProfileOA"><tt>DefaultTrustProfile</tt>: Ein lokal
- definiertes Default-Trust-Profil hat sowohl Vorrang gegen&uuml;ber einem
- global gesetzten <a href="#DefaultTrustProfileVI">Default-Trust-Profil</a>
- als auch gegen&uuml;ber einem global gesetzen
- <a href="#TrustProfileVI">infobox-spezifischen</a> Trustprofil. Ist
- beispielsweise im globalen <tt>VerifyInfoboxes</tt>-Element zwar kein
- Default-Trust-Profil, aber f&uuml;r die Infobox A ein eigenes Trust-Profil
- definiert, so wird ein lokal definiertes Default-Trust-Profil dem global
- f&uuml;r die Infobox A gesetzten Trust-Profil vorgezogen.
- </li>
- <li id="InfoboxOA"><tt>Infobox</tt>: MOA-ID kann die Vereinigung aus den
- global und lokal konfigurierten Infoboxen f&uuml;r eine Online-Applikation
- validieren. Sind beispielsweise global Pr&uuml;fapplikationen
- f&uuml;r die Infoboxen mit den Bezeichnern
- (<a href="#IdentifierVI">Infobox/@Identifier</a>-Attribut) <tt>A</tt>
- und <tt>B</tt> konfiguriert, und lokal f&uuml;r die Online-Applikation
- <tt>OA1</tt> die Infoboxen <tt>B</tt>, <tt>C</tt> und <tt>D</tt>, so
- kann MOA-ID f&uuml;r die Online-Applikation <tt>OA1</tt> die
- Infoboxen <tt>A</tt>, <tt>B</tt>, <tt>C</tt> und <tt>D</tt> validieren.
- F&uuml;r die Infobox <tt>A</tt> werden dabei die Parameter aus der
- globalen Konfiguration verwendet und f&uuml;r die Infoboxen
- <tt>C</tt> und <tt>D</tt> die lokalen Parameter. F&uuml;r die Infobox
- <tt>B</tt> sind sowohl globale als auch lokale Parameter vorhanden,
- die von MOA-ID wie folgt interpretiert werden:
- <ul>
- <li>Attribute:
- Die Attribute <a href="#requiredVI">required</a>,
- <a href="#provideStammzahlVI">provideStammzahl</a> und
- <a href="#provideIdentityLinkVI">provideIdentityLink</a> <b><i>&uuml;berschreiben</i></b>
- die global gesetzten Werte. Dabei ist zu beachten, das ein Fehlen dieser
- Attribute bedeutet, dass ihnen &uuml;ber das Schema der Defaultwert
- <tt>false</tt> zugewiesen wird. Ist also beispielsweise f&uuml;r die
- Infobox mit dem Bezeichner <tt>B</tt> das <tt>required</tt>-Attribut
- global auf <tt>true</tt> gesetzt (&lt;Infobox Identifier="B" required="true"&gt;)
- und fehlt dieses Attribut lokal in der Online-Applikation <tt>OA1</tt>
- (&lt;Infobox Identifier="B"&gt;), so hat das <tt>required</tt>-Attribut
- f&uuml;r die Infobox <tt>B</tt> den Wert <tt>false</tt>.
- <br />
- Die Attribute <a href="#requiredVI">required</a>,
- <a href="#provideStammzahlVI">provideStammzahl</a> und
- <a href="#provideIdentityLinkVI">provideIdentityLink</a> m&uuml;ssen also
- f&uuml;r Infoboxen, die sowohl global als auch lokal konfiguriert sind,
- in jeder lokalen Konfiguration neu gesetzt werden, wenn ihnen der Wert
- <tt>true</tt> zugwiesen werden sollen.
- </li>
- <li>Kind-Elemente:
- <ul>
- <li id="FriendlyNameOA"><a href="#FriendlyNameVI">FriendlyName</a>:
- Ein lokal gesetzter <tt>FriendlyName</tt> wird einem global
- gesetzten vorgezogen. Ist sowohl lokal als auch global kein
- <tt>FriendlyName</tt> definiert, so wird das
- <a href="#IdentifierVI">Identifier</a>-Attribut als <tt>FriendlyName</tt>
- verwendet.
- <br />
- </li>
- <li id="TrustProfileOA"><a href="#TrustProfileVI">TrustProfileID</a>:
- Ein lokal definiertes Trust-Profil wird einem lokal definierten
- Default-Trust-Profil vorgezogen. Sind lokal sowohl kein
- Default-Trust-Profil als auch kein infobox-spezifisches Trust-Profil
- definiert, so wird das global gesetzte infobox-spezifisches Trust-Profil
- verwendet. Fehlt auch dieses, so wird das globale Default-Trust-Profil
- selektiert. Ist weder lokal als auch lokal ein Trust-Profil
- definiert, so wird f&uuml;r f&uuml;r die Validierung dieser
- Infobox kein Trust-Profil ben&ouml;tigt.
- </li>
- <li id="ValidatorClassOA"><a href="#ValidatorClassVI">ValidatorClass</a>:
- Eine lokal gesetzte Validator-Klasse wird einer global gesetzten
- vorgezogen. Ist sowohl lokal als auch global f&uuml;r eine Infobox
- keine Validator-Klasse konfiguriert, so wird die Default-Klasse
- geladen (siehe <a href="#ValidatorClassVI">ValidatorClass</a>).
- </li>
- <li id="SchemaLocationsOA"><a href=#SchemaLocations">SchemaLocations</a>:
- Lokal definierte Schemas werden global definierten vorgezogen.
- Sind lokal keine Schemas konfiguriert, so werden die globalen verwendet,
- so sie vorhanden sind.
- </li>
- <li id="ApplicationSpecificParametersOA">
- <a href="#ApplicationSpecificParameters">ApplicationSpecificParameters</a>:
- Lokal definierte applikationsspezifische Parameter werden global
- definierten vorgezogen. Sind lokal keine derartigen Parameter
- konfiguriert, so werden die globalen verwendet, so sie vorhanden
- sind.
- </li>
- </ul>
- </li>
- </ul>
- </li>
-</ul>
-<p><b id="VerifyInfoboxesSample">Beispiel</b>: In der Konfigurationsdatei
- <a href="examples/SampleMOAIDVerifyInfoboxesConfiguration.xml" target="_new">
- SampleMOAIDVerifyInfoboxesConfiguration.xml</a> sind global
- (<tt>MOA-IDConfiguration/AuthComponent/VerifyInfoboxes</tt>)
- Pr&uuml;fapplikationen f&uuml;r die beiden Infoboxen mit den Bezeichnern
- <tt>InfoboxA</tt> und <tt>InfoboxB</tt> konfiguriert.
- <tt>InfoboxA</tt> demonstriert in diesem Beispiel die minimale Konfiguration
- einer Pr&uuml;fapplikation - es ist nur der Identifier angegeben. MOA-ID
- wird in diesem Fall versuchen, die Default-Validatorklasse
- <tt>at.gv.egovernment.moa.id.auth.validator.infoboxa.InfoboxAValidator</tt>
- zu laden (siehe dazu auch MOA-ID-Spezifikation, Abschnitt 4.7.2.3,
- <tt>Zuordnung eines InfoboxReadResponse zu einer implementierenden Klasse</tt>).
- Da ein Default-Trust-Profil (<tt>GlobalVIDefaultTrust</tt>) konfiguriert ist,
- wird MOA-ID dieses Profil zur Verifikation von Zertifikaten heranziehen.
- Da kein <tt>FriendlyName</tt> gesetzt ist, wird das <tt>Identifier</tt> Attibut
- (<tt>InfoboxA</tt>) als <tt>FriendlyName</tt> verwendet. Weitere Parameter
- sind f&uuml;r die Verifikation dieser Infobox nicht erforderlich.
- <br>
-Die Pr&uuml;fapplikation f&uuml;r die <tt>InfoboxB</tt> setzt nahezu alle
- m&ouml;glichen Parameter mit Ausnahme der Validator-Klasse. MOA-ID wird
- zur Verifikation dieser Infobox also auch die daf&uuml;r zust&auml;dige Default-Klasse
- (<tt>at.gv.egovernment.moa.id.auth.validator.infoboxb.InfoboxBValidator</tt>)
- laden, und alle konfigurierten Parameter an diese Klasse &uuml;bergeben.
- In die Konfigurationsdatei sind drei Online-Applikationen mit den
-public URL-Prefixen <tt>https://OA1/</tt>, <tt>https://OA2/</tt> und
- <tt>https://OA3/</tt> eingetragen.
- Online-Applikation <tt>OA1</tt> konfiguriert Pr&uuml;fapplikationen f&uuml;r
- die drei Infoboxen <tt>InfoboxB</tt>, <tt>InfoboxC</tt> und
- <tt>InfoboxD</tt>. Das hei&szlig;t, MOA-ID kann f&uuml;r die Online-Applikation
- <tt>OA1</tt> insgesamt vier Infoboxen &uuml;berpr&uuml;fen: die
- Parameter f&uuml;r die Infobox <tt>InfoboxA</tt> werden
- von der entsprechenden global konfigurierten Pr&uuml;applikation
- &uuml;bernommen. Die Infoboxen <tt>InfoboxC</tt> und
- <tt>InfoboxD</tt> sind nur lokal gesetzt. F&uuml;r <tt>InfoboxB</tt>
- &uuml;bernimmt MOA-ID die applikationsspezifischen Parameter aus der
- entsprechenden global konfigurierten Infobox und &uuml;berschreibt
- alle weiteren Parameter mit den lokalen Werten. Als Trust-Profil wird
- das lokale Deafult-Trust-Profil (<tt>LocalOA1DefaultTrust</tt>) genommen -
- dieses hat Vorrang gegen&uuml;ber den global gesetzten Profilen. Weiters
- ist zu beachten, dass die Attribute <tt>provideStammzahl</tt> und
- <tt>provideIdentityLink</tt> lokal nicht gesetzt sind, und daher den
- Deafult-Wert <tt>false</tt> einnehmen.
- <br />
- Das <tt>VerifyInfoboxes</tt>-Element in der AUTH-Komponente der zweiten
- Online-Applikation (<tt>OA2</tt>) spezifiziert keine anderen Pr&uuml;fapplikationen
- als die global definierten, &uuml;berschreibt aber f&uuml;r beide Infoboxen
- teilweise die global gesetzten Parameter. <tt>InfoboxA</tt> verwendet
- ein lokal definiertes Trust-Profil (<tt>LocalInfoboxOA2ATrust</tt>),
- <tt>InfoboxB</tt> &uuml;bernimmt
- alle globalen Parameter, setzt aber f&uuml;r die Attribute <tt>required</tt>,
- <tt>provideStammzahl</tt> und <tt>provideIdentityLink</tt> jeweils den
- Defaultwert <tt>false</tt>.
- <br />
- Die dritte Online-Applikation <tt>OA3</tt> enth&auml;lt in Ihrer AUTH-Komponente
- kein <tt>VerifyInfoboxes</tt>-Element. MOA-ID &uuml;bernimmt daher f&uuml;r
- diese Online-Applikation die global konfigurierten Infobox-Pr&uuml;applikationen
- (<tt>InfoboxA</tt> und <tt>InfoboxB</tt>) mit allen Paramertern genauso wie
- sie dort gesetzt sind. Zu beachten ist hier, dass das in der AUTH-Komponente
- auf <tt>true</tt> gesetzte Attribut <tt>proviedStammzahl</tt> die
- Online-Applikation und <b><i>nicht</i></b> die Pr&uuml;applikation
- betrifft.
- <br />
- </p>
- <p id="OnlineApplication/AuthComponent/Mandates"> <b>OnlineApplication/AuthComponent/Mandates</b>
- <br />
- Mit Hilfe dieses Elements werden die Online-Vollmachten f&uuml;r die Online-Applikation aktiviert.
- Als Kindelement muss <tt>Profiles</tt> angegeben werden. Dieses Element beinhaltet eine (Komma-separierte)
- Liste von Vollmachten-Profilen, die festlegen mit welchen Vollmachtstypen man sich bei der Online-Applikation anmelden kann.
-Unter <a href="https://vollmachten.stammzahlenregister.gv.at/mis/" target="_blank">https://vollmachten.stammzahlenregister.gv.at/mis/</a> finden Sie eine Liste der unterst&uuml;tzen Vollmachten-Profile.</p>
- <p><em>Hinweis:</em> Hierzu muss auch die Verbindung zum Online-Vollmachten Service konfiguriert werden - siehe <a href="#AuthComponent_OnlineMandates">hier</a>
- </p>
-
- <p id="OnlineApplication/AuthComponent/STORK"> <b>OnlineApplication/AuthComponent/STORK</b>
- <br />
- Innerhalb dieses Konfigurationsblocks kann angegeben werden, welche zus&auml;tzlichen Attribute (neben eIdentifier, givenName, surname und dateOfBirth, welche defaultm&auml;&szligig requested werden) im Rahmen einer STORK Anmeldung f&uuml;r diese Applikation vom B&uuml;rger abgefragt werden sollen. Au&szligerdem kann zu Testzwecken das ben&ouml;tigte Authentifzierungslevel (STORK QAALevel) vom defaultm&auml;&szligig h&ouml;chstem Level von 4 f&uuml;r diese Applikation verringert werden.
- F&uuml;r ein anderes STORK QAALevel muss folgendes XML Element mit einem Wert zwischen 1 und 4 angegeben werden: <tt>&lt;stork:QualityAuthenticationAssuranceLevel&gt;</tt>.
-<p>Die zus&auml;tzlichen Attribute werden im Element <tt>&lt;storkp:RequestedAttributes&gt;</tt> gekapselt. Ein entsprechener Konfigurationseintrag k&ouml;nnte folgenderma&szligen aussehen:
-<pre>
-&lt;storkp:RequestedAttributes&gt;
- &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/age" isRequired="false" <br> NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/&gt;
- &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/eMail" isRequired="false" <br> NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/&gt;
- &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/isAgeOver" isRequired="false" <br> NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"&gt;
- &lt;stork:AttributeValue&gt;1&lt;/stork:AttributeValue&gt;
- &lt;/stork:RequestedAttribute&gt;<br>&lt;/storkp:RequestedAttributes&gt;</pre>
- Bei der Inkludierung von <tt>&lt;stork:RequestedAttribute&gt;</tt> Elementen sind folgende XML Attribute anzugeben:
-<ul>
- <li><tt>Name</tt>: Der Name des entsprechenden STORK Attributes.
- <br />
- </li>
- <li><tt>isRequired</tt>: Gibt durch <tt>true</tt> oder <tt>false</tt> an, ob das angefragte Attribut f&uuml;r die Applikation verpflichtend oder nur optional ben&ouml;tigt wird.
- <br />
- </li>
- <li><tt>NameFormat</tt>: Gibt das Format des Attributes an und MUSS den Wert <tt>urn:oasis:names:tc:SAML:2.0:attrname-format:uri</tt> beinhalten.
- <br />
- </li>
- <li>Element <tt>&lt;stork:AttributeValue&gt;</tt>: Dieses Element ist optional und gibt einen Vergleichswert f&uuml;r ein abzufragendes Attribut an. Im Beispiel von <tt>isAgeOver</tt> wird in der Antwort retourniert, ob die authentifizierte Person &auml;lter als das geforderte angegebene Alter ist.
- <br />
- </li>
- </ul>
- <p>Details zu den STORK Attributen k&ouml;nnen im <a href="../MOA_ID_1.5.2_Anhang.pdf" target="_new">Anhang zur MOA-ID Spezifikation</a> bzw. in der <a href="https://www.eid-stork.eu/index.php?option=com_processes&Itemid=&act=streamDocument&did=1880" target="_blank">STORK Spezifikation</a> gefunden werden.</p>
- Im Wesentlichen kann die folgende Menge an Attributen bzw. Teile daraus f&uuml;r eine Online Applikation angefragt werden:
- <ul>
- <li><tt>http://www.stork.gov.eu/1.0/inheritedFamilyName</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/adoptedFamilyName</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/gender</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/countryCodeOfBirth</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/nationalityCode</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/maritalStatus</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/textResidenceAddress</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/canonicalResidenceAddress</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/eMail</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/title</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/residencePermit</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/pseudonym</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/age</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/citizenQAALevel</tt>
- <br />
- </li>
- <li><tt>http://www.stork.gov.eu/1.0/isAgeOver</tt>
- </p>
- </li>
- </ul>
- <p id="OnlineApplication/ProxyComponent"> <b>OnlineApplication/ProxyComponent</b>
- <br />
- Das Element <tt>OnlineApplication/ProxyComponent</tt>
- muss verwendet werden wenn auf dem Server die
- Proxykomponente installiert wird. <br />
- <br />
- Das optionale Attribut <tt>configFileURL</tt>
- verweist auf eine Konfigurationsdatei die dem Schema
- <a href="../MOA-ID-Configuration-1.5.1.xsd" target="_new">MOA-ID-Configuration-1.5.1.xsd</a>
- entspricht mit Dokument-Element <tt>Configuration</tt>.
- Die Angabe erfolgt relativ zur verwendeten MOA-ID
- Konfigurationsdatei. Beispiel f&uuml;r das Element
- <tt>configFileURL</tt>: &quot;oa/SampleOAConfiguration.xml&quot;.<br />
- Defaultm&auml;&szlig;ig wird versucht die Datei
- von der betreffenden OnlineApplikation unter dem
- Wert: <tt>http://&lt;realURLPrefix&gt;/MOAConfig.xml</tt>
- zu laden.<br/>
- (<tt>&lt;realURLPrefix&gt;</tt> entspricht dem
- Wert von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>)
- <br />
- <br />
- Das optionale Attribut <tt>sessionTimeOut</tt>
- legt das Timeout einer Benutzersession in der
- Proxykomponente in Sekunden fest.<br />
-Default-Wert: 3600 </p>
-<p>Im optionalen Attribut <tt>loginParameterResolverImpl</tt>
- kann der Klassenname eines zu verwendenden <tt>LoginParameterResolver</tt>
- angegeben werden, welcher die Defaultimplementierung
- ersetzt. </p>
- <p>Im optionalen Attribut <tt>loginParameterResolverConfiguration
- </tt>kann ein Configurationsstring f&uuml;r die
- Initialisierung der betreffenden <tt>loginParameterResolverImpl</tt>
-angegeben werden.</p>
- <p>Im optionalen Attribut <tt>connectionBuilderImpl</tt>
- kann der Klassenname eines zu verwendenden ConnectionBuilder
- angegeben werden, welcher die Defaultimplementierung
- ersetzt. </p>
-<p>Im Kind-Element <tt>ConnectionParameter</tt> ist
- konfiguriert, wie MOA-ID-PROXY zur Online-Applikation
- verbindet. </p>
- <p id="ChainingModes"> <b>ChainingModes</b><br />
- Das Element <tt>ChainingModes</tt> definiert,
- ob bei der Zertifikatspfad-&uuml;berpr&uuml;fung
- das Kettenmodell (<tt>"chaining"</tt>) oder
- das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>)
-verwendet werden soll. </p>
- <p>Das Attribut <tt>systemDefaultMode</tt> spezifiziert
- das Modell, das im Standardfall verwendet werden
- soll. </p>
- <p>Mit dem Kind-Element <tt>TrustAnchor</tt> kann
- f&uuml;r jeden Trust Anchor ein abweichendes
- Modell spezifiziert werden. Ein Trust Anchor
- ist ein Zertifikat, das in <tt>TrustedCACertificates</tt>
- spezifiziert ist. Ein Trust Anchor wird durch
- den Typ <tt>&lt;dsig:X509IssuerSerialType&gt;</tt>
- spezifiziert. Das f&uuml;r diesen Trust Anchor
- g&uuml;ltige Modell wird durch das Attribut
- <tt>mode</tt> spezifiziert. </p>
- <p>G&uuml;ltige Werte f&uuml;r die Attribute <tt>systemDefaultMode</tt>
- und <tt>mode</tt> sind <tt>"chaining"</tt> und
- <tt>"pkix"</tt>. <br/>
- <br/>
- <a href="examples/ChainingModes.txt">Beispiel</a>
- </p>
- <p id="TrustedCACertificates"> <b>TrustedCACertificates</b><br />
- Das Element <tt>TrustedCACertificates</tt>
- enth&auml;lt das Verzeichnis (relativ zur
- MOA-ID Konfigurationsdatei), das jene Zertifikate
- enth&auml;lt, die als vertrauensw&uuml;rdig
- betrachtet werden. Im Zuge der &Uuml;berpr&uuml;fung
- der TLS-Serverzertifikate wird die Zertifikatspfaderstellung
-an einem dieser Zertifikate beendet. </p>
- <p id="GenericConfiguration"> <b>GenericConfiguration</b><br />
- Das Element <tt>GenericConfiguration</tt>
- erm&ouml;glicht das Setzen von Namen-Werte
- Paaren mittels der Attribute <tt>name</tt>
- und <tt>value</tt>. Die folgende Liste spezifiziert
- <ul>
- <li>g&uuml;ltige Werte f&uuml;r das name-Attribut,
- </li>
- <li>eine Beschreibung </li>
- <li>g&uuml;ltige Werte f&uuml;r das value-Attribut
- und (falls vorhanden)</li>
- <li>den Default-Wert f&uuml;r das value-Attribut.
- </li>
- </ul>
- <table border="0" cellspacing="3" cellpadding="2">
- <tr id="DirectoryCertStoreParameters.RootDir">
- <th align="left">name: DirectoryCertStoreParameters.RootDir</th>
- </tr>
- <tr>
- <td id="info"> Gibt den Pfadnamen zu einem
- Verzeichnis an, das als Zertifikatsspeicher
- im Zuge der TLS-Server-Zertifikats&uuml;berpr&uuml;fung
- verwendet wird.<br />
- <hr />
- <b>value: </b><br />
- G&uuml;ltige Werte: Name eines g&uuml;ltigen
- Verzeichnisses (relativ zur MOA-ID Konfigurationsdatei)<br />
- <b>Dieser Parameter muss angegeben werden.</b>
- </td>
- </tr>
- </table>
- <table border="0" cellspacing="3" cellpadding="2">
- <tr id="AuthenticationSession.TimeOut">
- <th align="left">name: AuthenticationSession.TimeOut</th>
- </tr>
- <tr>
- <td id="info"> Gibt die Zeitspanne in
- Sekunden vom Beginn der Authentisierung
- bis zum Anlegen der Anmeldedaten an.
- Wird die Angegebene Zeitspanne &uuml;berschritten
- wird der Anmeldevorgang abgebrochen.
- <br />
- <hr />
- <b>value: </b><br />
- G&uuml;ltige Werte: positive Ganzzahlen
- <br />
- Default-Wert: 120 </td>
- </tr>
- </table>
- <table border="0" cellspacing="3" cellpadding="2">
- <tr id="AuthenticationData.TimeOut">
- <th align="left">name: AuthenticationData.TimeOut</th>
- </tr>
- <tr>
- <td id="info"> Gibt die Zeitspanne in
- Sekunden an, f&uuml;r die die Anmeldedaten
- in der Authentisierungskomponente zum
- Abholen durch die Proxykomponente oder
- eine nachfolgende Applikation bereitstehen.
- Nach Ablauf dieser Zeitspanne werden
- die Anmeldedaten gel&ouml;scht.<br />
- <hr />
- <b>value: </b><br />
- G&uuml;ltige Werte: positive Ganzzahlen<br />
- Default-Wert: 600 </td>
- </tr>
- </table>
- <table border="0" cellspacing="3" cellpadding="2">
- <tr id="TrustManager.RevocationChecking">
- <th align="left">name: TrustManager.RevocationChecking</th>
- </tr>
- <tr>
- <td id="info"> F&uuml;r die TLS-Server-Authentisierung
- d&uuml;rfen nur Server-Zertifikate verwendet
- werden, die eine CRLDP-Extension enthalten
- (andernfalls kann von MOA-ID keine CRL-&uuml;berpr&uuml;fung
- durchgef&uuml;hrt werden). <br />
- Soll das RevocationChecking generell
- ausgeschaltet werden, ist dieses Attribut
- anzugeben und auf "false" zu setzen.
- <br />
- <hr />
- <b>value: </b><br />
- G&uuml;ltige Werte: true, false<br />
- Default-Wert: true </td>
- </tr>
- </table>
- <table border="0" cellspacing="3" cellpadding="2">
- <tr id="TrustManager.RevocationChecking">
- <th align="left">name: FrontendServlets.EnableHTTPConnection</th>
- </tr>
- <tr>
- <td id="info">
- <p>Standardm&auml;&szlig;ig k&ouml;nnen
- die beiden Servlets &quot;StartAuthentication&quot;
- und &quot;SelectBKU&quot; welche das
- User-Frontend darstellen, aus Sicherheitsgr&uuml;nden,
- nur &uuml;ber das Schema HTTPS aufgerufen
- werden. </p>
- <p>Wenn die beiden Servlets jedoch auch
- Verbindungen nach dem Schema HTTP
- entgegennehmen sollen, so kann mittels
- dem Attribut &quot;EnableHTTPServletConnection&quot;
- erlaubt werden.</p>
- <p>Hinweis: Sicher und sinnvoll ist
- das Erlauben der HTTP Verbindung nur
- dann, wenn ein Vorgeschalteter Webserver
- das HTTPS handling &uuml;bernimmt,
- und eine Verbindung zu den Servlets
- nur &uuml;ber diesen Webserver m&ouml;glich
- ist.</p>
- <hr />
- <b>value: </b><br />
- G&uuml;ltige Werte: true, false<br />
- Default-Wert: false</td>
- </tr>
- </table>
- <table border="0" cellspacing="3" cellpadding="2">
- <tr id="TrustManager.RevocationChecking">
- <th align="left"><a name="DataURLPrefix"></a>name:
- FrontendServlets.DataURLPrefix</th>
- </tr>
- <tr>
- <td id="info">
- <p>Standardm&auml;&szlig;ig wird als
- DataURL Prefix das URL Pr&auml;fix
- unter dem die MOA-ID Servlets erreichbar
- sind verwendet. Im Falle das sich
- der MOA-ID Server hinter einer Firewall
- befindet und die Requests von einem
- vorgelagertem Webserver weitergereicht
- werden, kann mit FrontendServlets.DataURLPrefix
- ein alternatives URL Pr&auml;fix angegeben
- werden. In diesem Fall muss der Webserver
- so konfiguriert sein, dass er Request
- auf diese URLs an den MOA-ID Server
- weiterleitet.</p>
- <hr />
- <b>value: </b><br />
- G&uuml;ltige Werte: URLs nach dem Schema
- 'http://' und 'https://'<br />
- Default-Wert: kein Default-Wert<br>
- Beispiel: &lt;GenericConfiguration name=&quot;FrontendServlets.DataURLPrefix&quot;
- value=&quot;https://&lt;your_webserver&gt;/moa-id-auth/&quot;/&gt;</td>
- </tr>
- </table>
- <p id="TrustedBKUs"> <b>TrustedBKUs</b><br />
- Das Element <tt>TrustedBKUs</tt>
- erm&ouml;glicht das Setzen von vertrauensw&uuml;rdigen B&uuml;rgerkartenumgebungen.
- In <tt>BKUURL</tt> Unterelementen werden die vertrauensw&uuml;rdigen URLs eingetragen. Diese Liste von URLs wird mit dem Aufruf-Parameter bkuURI abgeglichen. Lokale B&uuml;rgerkartenumgebungen m&uuml;ssen nicht eingetragen werden - diesen wird automatisch vertraut.
- </p>
-<p id="TrustedTemplateURLs"> <b>TrustedTemplateURLs</b><br />
- Das Element <tt>TrustedTemplateURLs</tt>
- erm&ouml;glicht das Setzen von vertrauensw&uuml;rdigen Templates, die sich auf externen Servern befinden.
- In <tt>TemplateURL</tt> Unterelementen werden die vertrauensw&uuml;rdigen URLs eingetragen. Diese Liste von URLs wird mit dem Aufruf-Parameter Template abgeglichen.
- </p>
-
-<h1><a name="oa-config" id="oa-config">2 Konfiguration der Online-Applikation</a></h1>
-<p>Die Konfiguration der OA beschreibt die Art und Weise, wie die Proxykomponente die Anmeldung an der Online-Applikation
-durchf&uuml;hrt. </p>
-<p>Der Name der Konfigurationsdatei wird in der Konfiguration von MOA-ID als Wert des Attributs <tt>configFileURL</tt> des Elements <tt>MOA-IDConfiguration/OnlineApplication/ProxyComponent</tt> hinterlegt. <br/>
- Ist dieses Attribut nicht gesetzt, dann wird die Datei von <tt>http://&lt;realURLPrefix&gt;/MOAConfig.xml</tt> geladen,
-wobei <tt>&lt;realURLPrefix&gt;</tt> dem Konfigurationswert <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt> entspricht. </p>
-<p>Die Konfigurationsdatei ist eine XML-Datei, die dem Schema <a href="../MOA-ID-Configuration-1.5.1.xsd" target="_new">MOA-ID-Configuration-1.5.1.xsd</a> mit dem Wurzelelement <tt>Configuration</tt> entspricht.
-</p>
-<p id="LoginType"> <b>LoginType</b><br />
- Das Element <tt>LoginType</tt> gibt an, ob die Online-Applikation ein einmaliges Login erwartet (<tt>stateful</tt>),
- oder ob die Login-Parameter bei jedem Request mitgegeben werden m&uuml;ssen (<tt>stateless</tt>). Im Fall einer stateful
- Online-Applikation werden die in der HTTP-Session der Proxykomponente gespeicherten Anmeldedaten nur f&uuml;r den Aufruf
- des Login-Scripts verwendet. Unmittelbar nach dem Aufruf werden sie gel&ouml;scht. <br />
- Default-Wert: <tt>stateful</tt> </p>
-<p id="ParamAuth"> <b>ParamAuth</b><br />
- Konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Applikation mittels URL-Parametern. Das Element
- kann ein oder mehrere Kind-Elemente <tt>&lt;Parameter&gt;</tt> beinhalten. </p>
-<p id="Parameter"> <b>ParamAuth/Parameter</b><br />
-Das Element <tt>&lt;Parameter&gt;</tt> enth&auml;lt die Attribute <tt>Name</tt> und <tt>Value</tt>.
-<p>Das Attribut <tt>Name</tt> beschreibt den Namen des Parameters und ist ein frei zu w&auml;hlender String.
-<p>Das Attribut <tt>Value</tt> beschreibt den Inhalt des Parameters und kann einen der durch <tt>MOAAuthDataType</tt> beschriebenen
- Werte annehmen. G&uuml;ltige Werte von <tt>MOAAuthDataType</tt> sind:
-<ul>
- <li><tt>MOAGivenName</tt> - der Vorname des Benutzers, wie in der Personenbindung enthalten
- <li><tt>MOAFamilyName</tt> - der Nachname des Benutzers, wie in der Personenbindung enthalten
- <li><tt>MOADateOfBirth</tt> - das Geburtsdatum des Benutzers, wie in der Personenbindung enthalten
- <li><tt>MOABPK</tt> - die bereichsspezifische Personenkennzeichnung des Benutzers, wie von der
- Authentisierungskomponente berechnet
- <li><tt>MOAWBPK</tt> - das wirtschaftsbereichsspezifische Personenkennzeichen des Benutzers, wie von der
- B&uuml;gerkartenumgebung berechnet
- <li><tt>MOAPublicAuthority</tt> - wird durch <tt>true</tt> ersetzt, falls der Benutzer mit einem Zertifikat signierte,
- welches eine <a href="../OID-1-0-3.pdf">Beh&ouml;rdenerweiterung</a> beinhaltet. Andernfalls wird <tt>false</tt> gesetzt
- <li><tt>MOABKZ</tt> - das Beh&ouml;rdenkennzeichen (nur sinnvoll, wenn <tt>MOAPublicAuthority</tt> den Wert <tt>true</tt> ergibt)
- <li><tt>MOAQualifiedCertificate</tt> - wird durch <tt>true</tt> ersetzt, falls das Zertifikat des Benutzers
- qualifiziert ist, andernfalls wird <tt>false</tt> gesetzt
- <li><tt>MOAStammzahl</tt> - die Stammzahl des Benutzers; diese ist nur dann verf&uuml;gbar, wenn die Online-Applikation
- die Stammzahl bekommen darf (und daher in der Personenbindung enthalten ist)
- <li><tt>MOAIPAddress</tt> - IP-Adresse des Client des Benutzers.
-</ul>
-Anhand der <tt>&lt;Parameter&gt;</tt>-Elemente wird der Request f&uuml;r den Login-Vorgang (f&uuml;r stateful Online-Applikationen)
-folgenderma&szlig;en zusammenge-stellt:<br />
-<blockquote> <code>GET https://&lt;login-url&gt;?<br />
- &nbsp;&nbsp;&lt;p1.name=p1.resolvedValue&gt;&<br />
- &nbsp;&nbsp;&lt;p2.name=p2.resolvedValue&gt;...</code> </blockquote>
-<p> Die <tt>&lt;login-url&gt;</tt> ergibt sich aus dem Parameter OA des <a href="id-anwendung_1.htm">Aufrufs von MOA-ID-AUTH</a>,
- zusammen mit der Konfiguration von <tt>OnlineApplication/@publicURLPrefix</tt> und von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>. <br/>
- Der Wert <tt>resolvedValue</tt> wird in MOA-ID-PROXY je nach Wert des Platzhalters eingesetzt.</p>
-<p id="BasicAuth"> <b>BasicAuth</b><br />
- Das Element <tt>BasicAuth</tt> konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Appliktion
- mittels HTTP Basic Authentication. Es enth&auml;lt zwei Kind-Elemente. </p>
-<p> Das Element <tt>UserID</tt> gibt die UserId des zu authentisierenden Benutzers an und kann einen der durch <tt>MOAAuthDataType</tt> beschriebenen Werte annehmen. </p>
-<p>Das Element <tt>Password</tt> gibt das Passwort des zu authentisierenden Benutzers an und kann einen der durch <tt>MOAAuthDataType</tt> beschriebenen Werte annehmen. </p>
-<p id="HeaderAuth"> <b>HeaderAuth</b><br />
- Das Element <tt>HeaderAuth</tt> konfiguriert die &uuml;bergabe der Authentisierungs-Parameter an die Online-Applikation
-in HTTP Request Headern. Das Element kann ein oder mehrere Kind-Elemente <tt>&lt;Header&gt;</tt> beinhalten. </p>
-<p id="Header"> <b>HeaderAuth/Header</b><br />
-Das Element <tt>&lt;Header&gt;</tt> enth&auml;lt die Attribute Name und Value.
-<p>Das Attribut <tt>Name</tt> beschreibt den Namen des Header und ist ein frei zu w&auml;hlender String.
-<p>Das Attribut <tt>Value</tt> beschreibt den Inhalt des Header und kann einen der durch <tt>MOAAuthDataType</tt> beschriebenen Werte annehmen.
-<p>Die Header werden folgenderma&szlig;en in den Request an die Online-Applikation eingef&uuml;gt:
-<blockquote>
- <pre>
-&lt;h1.name&gt;:&lt;h1.resolvedValue&gt;
-&lt;h2.name&gt;:&lt;h2.resolvedValue&gt;
-...
-</pre>
-</blockquote>
-<p>Der Wert <tt>resolvedValue</tt> wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt.
-Etwaige Header aus dem urspr&uuml;nglichen Request an die Proxykomponente, die denselben Namen haben, m&uuml;ssen
-&uuml;berschrieben werden.
-</p>
-
-<h1><a name="sp-config" id="sp-config">3 Konfiguration von MOA-SP</a></h1>
- <p>MOA-ID &uuml;berpr&uuml;ft die Signaturen der Personenbindung und
- des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt> von
- MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. <br />
- <br />
- <b id"verifytransformsInfoProfile">VerifyTransformsInfoProfile</b><br />
- Der Request zum &uuml;berpr&uuml;fen der Signatur des AUTH-Blocks
- verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die
- im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei
- im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/
- VerifyTransformsInfoProfileID</tt> definiert. Entsprechend muss
- am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender
- ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung
- von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt> enthalten. Diese Profildefinition muss unver&auml;ndert &uuml;bernommen
- werden. </p>
-<p id="trustProfile"> <b>TrustProfile</b><br />
- Die Requests zur &uuml;berpr&uuml;fung der Signatur verwenden vordefinierte TrustProfile.
- Die im Request verwendete Profil-IDs werden in der MOA-ID Konfigurationsdatei
- in den Elementen <tt>/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyIdentityLink/ TrustProfileID</tt> und <tt>/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyAuthBlock/TrustProfileID</tt> definiert. Diese beiden Elemente
- k&ouml;nnen unterschiedliche oder identische TrustProfileIDs enthalten.
- Am MOA-SP Server m&uuml;ssen TrustProfile mit gleichlautender ID definiert werden.
- Die Auslieferung von MOA-ID enth&auml;lt das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/trustprofiles/MOAIDBuergerkarteRoot</tt>,
- das als TrustProfile verwendet werden kann. Weitere Zertifikate k&ouml;nnen als vertrauensw&uuml;rdig hinzugef&uuml;gt werden. </p>
-<p id="certstore"> <b>Certstore</b><br />
- Zum Aufbau eines Zertifikatspfades k&ouml;nnen ben&ouml;tigte Zertifikate aus einem Zertifikatsspeicher verwendet werden.
- Die Auslieferung von MOA-ID enth&auml;lt das Verzeichnis <tt>$MOA_ID_INST_AUTH/conf/moa-spss/certstore</tt>, das als initialer
- Zertifikatsspeicher verwendet werden kann. </p>
-<p>Hinweis: Mit dem Wechsel auf Version 1.3 verwendet MOA SP/SS ein neues Format f&uuml;r die XML-Konfigurationsdatei.
- F&uuml;r die Konvertierung einer &auml;lteren Konfigurationsdatei auf das neue Format steht Ihnen ein Tool
- zur Verf&uuml;gung. Details dazu finden sie in der der Distribution von MOA-SP/SS beiligenden
- Dokumentation im Kapitel 'Konfiguration', Abschnitt 1.2.1.</p>
-
-<h1><a name="online-config" id="online-config">4 &Auml;nderung der Konfiguration w&auml;hrend des Betriebs</a></h1>
-<p>Der Inhalt dieser Konfiguration, bzw. jene Teile, auf die indirekt verwiesen wird, k&ouml;nnen w&auml;hrend des laufenden
-Betriebes des MOA-Servers ge&auml;ndert werden. Der Server selbst wird durch den Aufruf einer <a href="id-admin_1.htm#ConfigUpdate">URL</a> (im Applikationskontext von MOA ID) dazu veranlasst, die ge&auml;nderte Konfiguration neu einzulesen.
-Im Falle einer fehlerhaften neuen Konfiguration wird die urspr&uuml;ngliche Konfiguration beibehalten.</p>
-
-<h1><a name="errorpages" id="errorpages">5 &Auml;ndern der Default Errorpages</a></h1>
-<p>Die Default-Errorpages geben bei MOA-ID-AUTH und MOA-ID-PROXY immer die entsprechende Fehlermeldung aus, so eine vorhanden ist. M&ouml;chte man dies verhindern bzw. abh&auml;ngig vom eingestellten Log-Level machen so k&ouml;nnen diese Errorpages ersetzt werden. Entsprechende Errorpages sind unter $MOA_ID_INST_AUTH/errorpages bzw. $MOA_ID_INST_PROXY/errorpages zu finden. Diese k&ouml;nnen die Default-Errorpages unter dem jeweiligen webapps-Kontext von MOA-ID-AUTH (errorpage-auth.jsp) bzw. MOA-ID-PROXY (errorpage-proxy.jsp )ersetzen. </p>
-<p>Die in $MOA_ID_INST_AUTH/errorpages bzw. $MOA_ID_INST_PROXY/errorpages enthaltenen Errorpages bedeuten dabei folgendes:</p>
-<ul>
- <li>errorpage-auth_debug.jsp und errorpage-proxy_debug.jsp:<br>
- Geben erweiterte Meldungen wie (ErrorMessage, ExceptionThrown) aus, wenn der Log-Level f&uuml;r
- moa.id.auth bzw. moa.id.proxy auf debug gesetzt sind. Ansonsten erfolgt nur eine allgemeine Ausgabe, dass ein
- Fehler aufgetreten ist.</li>
- <li>errorpage-auth_empty.jsp und errorpage-proxy_empty.jsp:<br>
- Unabh&auml;ngig vom Log-Level erfolgt nur einen allgemeine Ausgabe, dass ein Fehler aufgetreten ist.</li>
-</ul>
-<h1><a name="security" id="security">6 Tomcat Security Manager</a></h1>
-<p>Apache Tomcat bietet die M&ouml;glichkeit den Server unter einem Security Manager zu betreiben. Damit ist es m&ouml;glich den lokalen Dateizugriff zu beschr&auml;nken. Mit Hilfe der Datei &quot;catalina.policy&quot; k&ouml;nnen so Zugriffe auf lokale Dateien und Verzeichnisse festgelegt werden. Eine beispielhafte catalina.policy Datei finden Sie im Verzeichnis $MOA_ID_INST_AUTH/tomcat bzw. $MOA_ID_INST_PROXY/tomcat. Diese Datei wurde unter Apache Tomcat 4.1.31, 5.0.28 und 5.5.27 getestet. </p>
-<p>Mehr Informationen zum Security Manager entnehmen Sie bitte der entsprechenden Apache Tomcat Dokumentation. </p>
-
-
-</body>
-</html>
diff --git a/id/server/doc/moa_id/id-admin_3.htm b/id/server/doc/moa_id/id-admin_3.htm
deleted file mode 100644
index 85764a3a0..000000000
--- a/id/server/doc/moa_id/id-admin_3.htm
+++ /dev/null
@@ -1,108 +0,0 @@
-<html>
-<head>
- <title>MOA ID-Administration</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
-<link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
-<p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
- <p class="subtitle">Optionale Komponenten</p>
- <hr/>
-<h1>Inhalt</h1>
- <ol>
- <li>
- <p><a href="#IIS">Konfiguration des Microsoft Internet Information Server</a></p>
- </li>
- <li>
- <p><a href="#Apache">Konfiguration des Apache Webservers</a></p>
- </li>
- <li>
- <p><a href="#SQL">Konfiguration von PostgreSQL</a></p>
- </li>
-</ol>
- <hr/>
-<h1><a name="IIS" id="IIS">1 Konfiguration des Microsoft Internet Information Server</a></h1>
-Vor MOA-ID-AUTH oder MOA-ID-PROXY kann optional ein MS IIS vorgeschaltet sein. In diesem Fall &uuml;bernimmt der MS IIS die HTTP bzw. HTTPS-Kommunikation mit dem Aufrufer des Webservices. Die Kommunikation zwischen MS IIS und dem in Tomcat deployten Webservice wird durch Jakarta mod_jk durchgef&uuml;hrt.<br />
- <br />
- <b>Konfiguration von Jakarta mod_jk im MS IIS</b><br />
- F&uuml;r die Kommunikation des MS IIS mit dem im Tomcat deployten Webservice wird das ISAPI-Modul von Jakarta mod_jk im MS IIS installiert und konfiguriert. Eine detaillierte Installations- und Konfigurationsanleitung gibt das <a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/jk2/jk/iishowto.html" target="_new">mod_jk IIS HowTo</a>. Beispiele f&uuml;r <tt>workers.properties</tt> und <tt>uriworkermap.properties</tt> Dateien liegen im ausgelieferten moa-id-auth-x.y.zip bzw. moa-id-proxy-x.y.zip, Verzeichnis tomcat bei. <br />
- <br />
- <b>Konfiguration von Tomcat</b><br />
- Damit Tomcat die Aufrufe, die von MS IIS mittels Jakarta mod_jk weiterleitet, entgegennehmen kann, muss in $CATALINA_HOME/conf/server.xml der AJP 1.3 Connector aktiviert werden. Im Gegenzug k&ouml;nnen die Connectoren f&uuml;r HTTP und HTTPS deaktiviert werden. Das geschieht am einfachsten durch ein- bzw. auskommentieren der entsprechenden <tt>Connector</tt> Konfigurations-Elemente in dieser Datei. <br />
- <br />
- <p><b>Konfiguration von SSL</b><br />
- Die Dokumentation zum Einrichten von SSL auf dem MS IIS steht nach
- Installation des IIS unter http://localhost/iisHelp/ bzw. <a href="http://www.microsoft.com/windows2000/en/server/iis/default.asp" target="_new">online</a> zur Verf&uuml;gung. </p>
-<p><b><a name="Prefix"></a>Konfiguration des zu verwendenden DATA-URL
- Pr&auml;fix</b><br>
- Befindet sich der Rechner auf dem MOA-ID installiert wird hinter
- einer Firewall welche zwar Zugriffe vom vorgelagerten Webserver
- zul&auml;sst, nicht jedoch direkte Zugriffe (von den Rechnern von
- MOA-ID Benutzern), so muss manuell in der Konfigurationsdatei von
- MOA-ID ein s.g. DATA-URL Pr&auml;fix vergeben werden. An dieses
- URL-Pr&auml;fix werden Daten von der verwendeten B&uuml;rgerkartenumgebung
- gesendet. Details finden sie im Abschnitt <a href="./id-admin_2.htm#DataURLPrefix">Konfiguration</a>.
- Requests an das DataURL-Pr&auml;fix&gt; m&uuml;ssen durch den Webserver
- an https://&lt;moa-id-rechnername&gt;/moa-id-auth/ bzw. an http://&lt;moa-id-rechnername&gt;/moa-id-auth/
- weitergeleitet werden.</p>
-
-<h1><a name="Apache" id="Apache">2 Konfiguration des Apache Webservers</a></h1>
-<p>Vor MOA-ID-AUTH oder MOA-ID-PROXY kann ein Apache Webserver vorgeschaltet sein. Das Prinzip funktioniert wie bei MS IIS, auch hier wird Jakarta mod_jk f&uuml;r die Kommunikation zwischen Webserver und Tomcat eingesetzt. <br />
- <br />
- <b>Konfiguration von Jakarta mod_jk im Apache Webserver</b><br />
-Um MOA-ID-AUTH oder MOA-ID-PROXY hinter einem Apache Webserver zu betreiben, ist die Konfiguration des Apache-Moduls mod_jk erforderlich. Eine detaillierte Installations- und Konfigurationsanleitung gibt das <a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/jk2/jk/aphowto.html" target="_new">mod_jk Apache HowTo</a>. Ein Beispiel f&uuml;r eine <tt>workers.properties</tt> Datei liegt im Verzeichnis $MOA_SPSS_INST/conf/moa bei.<br />
-Um MOA-ID-AUTH oder MOA-ID-PROXY dem Apache Webserver bekannt zu machen, muss folgender Eintrag in die Apache Konfigurationsdatei gemacht werden: </p>
-<pre>
- JkMount /moa-id-auth/* moaworker
-</pre>
-oder f&uuml;r die Proxy-Komponente
-<pre>
- JkMount /* moaworker
-</pre>
-<br />
-<b>Konfiguration von Tomcat</b><br />
-Die Konfiguration von Tomcat ist analog wie im Abschnitt &uuml;ber den MS IIS durchzuf&uuml;hren. <br />
-<br />
-<b>Konfiguration von SSL mit mod_SSL </b><br />
-Apache kann in Verbindung mit mod_SSL als SSL-Endpunkt f&uuml;r das MOA-ID-AUTH Webservice fungieren. In diesem Fall entf&auml;llt die SSL-Konfiguration in Tomcat, da Apache und Tomcat auch im Fall von SSL Daten via mod_jk austauschen. Eine detaillierte Installations- und Konfigurationsanleitung von mod_SSL gibt die <a href="http://www.modssl.org/docs/" target="_new">Online-Dokumentation</a>. <br />
-<br />
-Bei der Verwendung von Client-Authentisierung muss darauf geachtet werden, dass mod_ssl die HTTP-Header mit den Informationen &uuml;ber das Client-Zertifikat exportiert. Dies wird durch Angabe der Option<br />
-<pre>
- SSLOptions +ExportCertData +StdEnvVars
-</pre>
-in der Apache-Konfiguration erreicht.<br />
-Weiters muss Jakarta mod_jk angewiesen werden, die SSL Schl&uuml;ssell&auml;nge zu exportieren. Dies geschieht mit der Direktive:
-<pre>
- JkOptions +ForwardKeySize
- +ForwardURICompat
- -ForwardDirectories
-</pre>
-<p><b>Konfiguration des zu verwendenden DATA-URL Pr&auml;fix</b></p>
-<p>siehe gleichnamige <a href="id-admin_3.htm#Prefix">&Uuml;berschrift </a>in Abschnitt &quot;Konfiguration des Microsoft Internet Information
- Server (optional)&quot;</p>
-<h1><a name="SQL" id="">3 Konfiguration von PostgreSQL</a></h1>
-<p>MOA-ID-AUTH bzw. MOA-ID-PROXY kann PostgreSQL zum Abspeichern von Log-Meldungen verwenden. Hierf&uuml;r wird eine installierte und konfigurierte Datenbank vorausgesetzt. Eine detaillierte &Uuml;bersicht &uuml;ber die Installation und Konfiguration von PostgreSQL gibt die <a href="http://techdocs.postgresql.org/">Online-Dokumentation</a>.<br />
- <br />
- <b>Logging</b><br />
-F&uuml;r das Logging in eine PostgreSQL Datenbank mittels Jakarta Log4j muss zun&auml;chst eine Tabelle f&uuml;r die Log-Meldungen angelegt werden. Dies kann mit folgendem SQL-Statement erreicht werden: </p>
-<pre>
- create table spss_log
- (log_time timestamp,
- log_level varchar(5),
- log_msg varchar(256));
-</pre>
-<p>Um das Logging in die Datenbank Log4j bekannt zu machen, muss die Log4j-Konfiguration adaptiert werden. Die Datei $MOA_SPSS_INST/conf/moa/log4.properties enth&auml;lt bereits eine beispielhafte Jakarta Log4j-Konfiguration f&uuml;r das Logging in eine PostgreSQL Datenbank, die standardm&auml;&szlig;ig ausgeschaltet ist. Hinweis: Bei Tests hat sich das Logging in eine Datenbank mit Jakarta Log4j als Performance-Engpa&szlig; herausgestellt. Es wird deshalb empfohlen, auf dieses Feature zu verzichten.</p>
-<br />
-
-</body>
-</html>
diff --git a/id/server/doc/moa_id/id-anwendung.htm b/id/server/doc/moa_id/id-anwendung.htm
deleted file mode 100644
index 657e836a8..000000000
--- a/id/server/doc/moa_id/id-anwendung.htm
+++ /dev/null
@@ -1,35 +0,0 @@
-<html>
-<head>
- <title>MOA-ID Anwendung</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
-<link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
- <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
- <p class="subtitle">Anwendung </p>
- <hr/>
-
-
- <dl>
- <dt><a href="id-anwendung_0.htm">&Uuml;berblick</a></dt>
- <dd>&Uuml;berblick &uuml;ber die Anwendung von MOA-ID.</dd>
- <dt><a href="id-anwendung_1.htm">Aufruf MOA-ID-AUTH</a></dt>
- <dd>Detaillierte Beschreibung &uuml;ber den Aufruf von MOA-ID AUTH.</dd>
- <dt><a href="id-anwendung_2.htm">Abfrage MOA-ID-AUTH </a></dt>
- <dd>Detaillierte Beschreibung &uuml;ber die Abfrage von MOA-ID AUTH.</dd>
- </dl>
-
- <hr/>
-
-
-</body>
-</html>
diff --git a/id/server/doc/moa_id/id-anwendung_0.htm b/id/server/doc/moa_id/id-anwendung_0.htm
deleted file mode 100644
index c98203e9a..000000000
--- a/id/server/doc/moa_id/id-anwendung_0.htm
+++ /dev/null
@@ -1,35 +0,0 @@
-<html>
-<head>
- <title>MOA-ID Anwendung</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
-<link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
- <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
- <p class="subtitle">Anwendung-&Uuml;berblick </p>
- <hr/>
-
-
- <p>MOA-ID f&uuml;hrt f&uuml;r eine Online-Applikation (OA) die Benutzeridentifizierung und -authentisierung mit Hilfe der B&uuml;rgerkarte durch. </p>
-Um diese Funktionalit&auml;t verf&uuml;gbar zu machen, ist folgenderma&szlig;en vorzugehen:
-</p>
-<ul>
- <li>Die OA muss als Webapplikation installiert werden.</li>
- <li>MOA-ID-AUTH muss als Webapplikation <a href="id-admin_1.htm">installiert</a> und f&uuml;r die OA <a href="id-admin_2.htm">konfiguriert</a> werden.</li>
- <li>MOA-ID-AUTH wird durch einen Verweis von einer Webseite aufgerufen.
- Diese Webseite kann z.B. Teil eines Portals sein.</li>
- <li>Nach erfolgter Authentisierung holt die OA die bereitgestellten Anmeldedaten zum B&uuml;rger von MOA-ID-AUTH ab.
- Dies kann unter Mithilfe der Webapplikation MOA-ID-PROXY geschehen, die f&uuml;r diesen Zweck <a href="id-admin_1.htm">installiert</a> und f&uuml;r die OA <a href="id-admin_2.htm">konfiguriert</a> werden muss.</li>
-</ul>
-
-</body>
-</html>
diff --git a/id/server/doc/moa_id/id-anwendung_1.htm b/id/server/doc/moa_id/id-anwendung_1.htm
deleted file mode 100644
index 43117f81d..000000000
--- a/id/server/doc/moa_id/id-anwendung_1.htm
+++ /dev/null
@@ -1,141 +0,0 @@
-<html>
-<head>
- <title>MOA-ID Anwendung</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
- <link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
- <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
- <p class="subtitle">Aufruf von MOA-ID AUTH</p>
- <hr/>
-MOA-ID-AUTH wird immer durch eine andere (verweisende) Webseite aufgerufen. Diese Webseite kann z.B. Teil eines Portals sein.
- Der Aufruf erfolgt durch einen Verweis der Form:
- <pre>&lt;a href=&quot;https://&lt;moa-id-server-und-pfad&gt;/
-StartAuthentication?Target=&lt;gesch&auml;ftsbereich&gt;
-&OA=&lt;oa-url&gt;&Template=&lt;template-url&gt;&amp;useMandate=false&amp;sourceID=&lt;sourceID&gt;&quot;&gt;</pre>
-<table border="1">
- <tbody valign="baseline">
- <tr>
- <td id="klein2">&lt;moa-id-server-und-pfad&gt;</td>
- <td id="klein2">Server und Pfad, wo MOA-ID-AUTH installiert ist</td>
- </tr>
- <tr>
- <td id="klein2">Target=&lt;gesch&auml;ftsbereich&gt;</td>
- <td id="klein2">Angabe, f&uuml;r welches Verfahren der Benutzer authentisiert werden soll</td>
- </tr>
- <tr>
- <td id="klein2">OA=&lt;oa-url&gt;</td>
- <td id="klein2">Webseite, auf die der Browser nach erfolgter Authentisierung weitergeleitet werden soll</td>
- </tr>
- <tr>
- <td id="klein2">Template=&lt;template-url&gt;</td>
- <td id="klein2">optional; HTML-Vorlage f&uuml;r der Anmeldeseite von MOA-ID-AUTH, &uuml;ber die der B&uuml;rger den Authentisierungsvorgang startet. &Uuml;ber diesen Parameter kann das Aussehen der Anmeldeseite an das Aussehen der Online-Applikation angepasst werden.</td>
- </tr>
- <tr>
- <td id="klein2">useMandate=&lt;true/false&gt;</td>
- <td id="klein2">optional; Gibt an ob eine Anmeldung im Online-Vollmachten-Modus durchgef&uuml;hrt werden soll (=true) oder nicht (=false);</td>
- </tr>
- <tr>
- <td id="klein3">sourceID=&lt;sourceID&gt;</td>
- <td id="klein3">optional; Gibt eine sourceID an, die (wenn sie gesetzt ist) zur Berechnung des SAML-Artifacts herangezogen wird.</td>
- </tr>
- </tbody>
- </table>
- <p><br/>
- <b>Template</b></p>
-<p> Ein <a href="examples/Template.html">Template</a> f&uuml;r die Anmeldeseite von MOA-ID-AUTH kann aus folgender Grundstruktur aufgebaut werden:
- </p>
- <pre>&lt;html&gt;<br>&lt;head&gt;<br>&lt;title&gt;MOA ID - Identifizierter Zugang mit B&amp;uuml;rgerkarte&lt;/title&gt;
- &lt;meta http-equiv=&quot;Content-Type&quot; content=&quot;text/html; charset=utf-8&quot;&gt;<br>&lt;/head&gt;
-
-&lt;body&gt; <p>&lt;form name=&quot;CustomizedForm&quot; action=&quot;&lt;BKU&gt;&quot; method=&quot;post&quot;&gt;
- &lt;div align=&quot;center&quot;&gt;
- &lt;input type=&quot;hidden&quot;
- name=&quot;XMLRequest&quot;
- value=&quot;&lt;XMLRequest&gt;&quot;/&gt;<br>
- &lt;input type=&quot;hidden&quot;
- name=&quot;DataURL&quot;
- value=&quot;&lt;DataURL&gt;&quot;/&gt;<br>
- &lt;input type=&quot;hidden&quot;
- name=&quot;PushInfobox&quot
- value=&quot;&lt;PushInfobox&gt;&quot;/&gt;<br>
- &lt;input type=&quot;submit&quot; value=&quot;Anmeldung mit B&amp;uuml;rgerkarte&quot; name=&quot;submit&quot;/&gt;<br>
- &lt;/div&gt;
- &lt;/form&gt;<br>
- &lt;form name=&quot;CustomizedInfoForm&quot;
- action=&quot;&lt;BKU&gt;&quot;
- method=&quot;post&quot;&gt;<br>
- &lt;input type=&quot;hidden&quot;
- name=&quot;XMLRequest&quot;
- value=&quot;&lt;CertInfoXMLRequest&gt;&quot;/&gt;<br>
- &lt;input type=&quot;hidden&quot;<br> name=&quot;DataURL&quot;
- value=&quot;&lt;CertInfoDataURL&gt;&quot;/&gt;<br> </p><p> &lt;input type=&quot;hidden&quot; value=&quot;Weitere Info&quot;/&gt;<br>
- &lt;/form&gt;</p>&lt;/body&gt;<br>&lt;/html&gt;<br>
- </pre>
- Innerhalb dieser <tt>&lt;form&gt;</tt>-Elemente k&ouml;nnen Texte, Beschriftungen und Styles modifiziert werden,
-und es k&ouml;nnen zus&auml;tzliche Elemente darin aufgenommen werden. <br />
-<br />
-Die vorgegebene Grundstruktur ist aber in jedem Fall einzuhalten, und es m&uuml;ssen die speziellen
-Tags <tt>&lt;BKU&gt;</tt> (kommt 2x vor), <tt>&lt;XMLRequest&gt;</tt>, <tt>&lt;DataURL&gt;</tt>, <tt>&lt;CertInfoXMLRequest&gt;</tt> und <tt>&lt;CertInfoDataURL&gt;</tt> darin enthalten sein. Das Tag &lt;PushInfobox&gt; muss ab Version 1.4 vorhanden sein, wenn MOA-ID auch andere Infoboxen als die Personenbindung bearbeiten kann. <br />
-<br />
-<b>BKU-Auswahl</b><br />
- <br />
- MOA-ID-AUTH bietet die M&ouml;glichkeit, die B&uuml;rgerkartenumgebung (BKU) auszuw&auml;hlen, &uuml;ber die in weiterer Folge die B&uuml;rgerkarte ausgelesen wird. Der Aufruf erfolgt dann durch einen Verweis der Form:
-<pre>&lt;a href=&quot;https://&lt;moa-id-server-und-pfad&gt;/
-SelectBKU?Target=&lt;gesch&auml;ftsbereich&gt;
-&OA=&lt;oa-url&gt;&Template=&lt;template-url&gt;
-&BKUSelectionTemplate=&lt;bku-template-url&gt;&quot;&gt;</pre>
-<table border="1">
- <tbody valign="baseline">
- <tr>
- <td id="klein2">BKUSelectionTemplate= &lt;bku-template-url&gt;</td>
- <td id="klein2">optional; HTML-Vorlage f&uuml;r der BKU-Auswahlseite von MOA-ID-AUTH.
- &Uuml;ber diesen Parameter kann das Aussehen der BKU-Auswahlseite an das Aussehen der Online-Applikation angepasst werden.</td>
- </tr>
- </tbody>
-</table>
-<br/>
-<b>BKUSelectionTemplate</b><br />
- <br />
- Ein <a href="examples/BKUSelectionTemplate.html">Template f&uuml;r die BKU-Auswahl</a> von MOA-ID-AUTH kann aus folgender Grundstruktur aufgebaut werden:
-<pre>
-&lt;html&gt;<br>&lt;head&gt;<br>&lt;title&gt;MOA ID - Auswahl der B&amp;uuuml;rgerkartenumgebung&lt;/title&gt;
- &lt;meta http-equiv=&quot;Content-Type&quot; content=&quot;text/html; charset=utf-8&quot;&gt;<br>&lt;/head&gt;
-&lt;body&gt;
-<p>&lt;form name=&quot;CustomizedForm&quot; method=&quot;post&quot; action=&quot;&lt;StartAuth&gt;&quot;&gt;<br> &lt;BKUSelect&gt; <br> &lt;input type=&quot;submit&quot; value=&quot;Ausw&amp;auml;hlen&quot;/&gt;<br>&lt;/form&gt;<br>&lt;br/&gt;<br>
- &lt;input type=&quot;hidden&quot; value=&quot;Weitere Info&quot;/&gt;<br>&lt;/form&gt;</p>
-<p>&lt;/body&gt;<br>&lt;/html&gt;</pre>
-</p>
-<p> Innerhalb dieser <tt>&lt;form&gt;</tt>-Elemente k&ouml;nnen Texte, Beschriftungen und Styles modifiziert werden,
- und es k&ouml;nnen zus&auml;tzliche Elemente darin aufgenommen werden. <br />
- <br />
-Auch dabei ist die vorgegebene Grundstruktur einzuhalten, die speziellen Tags <tt>&lt;StartAuth&gt;</tt> und <tt>&lt;BKUSelect&gt;</tt> sind verpflichtend.</p>
- <p><strong>Wichtiger Hinweis:</strong> wenn die Templates &uuml;ber HTTPS geladen werden sollten, so muss das SSL/TLS Zertifikat des Servers in einem Java Truststore gespeichert werden und dieser beim Start von Tomcat angegeben werden. </p>
-<strong>Vorgeschlagene Vorgehensweise:<br>
-</strong>
-<ol>
-<li>Webserver SSL/TLS Zertifikat speichern im .cer Format speichern (z.B. mittels Internet Explorer).</li>
-<li>Mittels Java Keytool das Zertifikat in einen Java Truststore importieren.
-Im folgenden Beispiel wird in den Java Truststore &quot;truststore.jks&quot; mit dem Passwort &quot;changeit&quot; importiert.<br>
-<pre>keytool -import -trustcacerts -alias mytomcat -file tomcat_localhost.cer -keystore truststore.jks</pre>
-</li>
-<li>Truststore beim Starten von Tomcat angeben (&uuml;ber das Hinzuf&uuml;gen folgender Parameter in
- die Variable CATALINA_OPTS im Tomcat Startskript).</p>
-<pre>
- -Djavax.net.ssl.trustStore=&lt;PFAD&gt;\truststore.jks<br>
- -Djavax.net.ssl.trustStorePassword=changeit<br>
- -Djavax.net.ssl.trustStoreType=jks </pre>
-</li>
-</ol>
-</body>
-</html>
diff --git a/id/server/doc/moa_id/id-anwendung_2.htm b/id/server/doc/moa_id/id-anwendung_2.htm
deleted file mode 100644
index 68c055059..000000000
--- a/id/server/doc/moa_id/id-anwendung_2.htm
+++ /dev/null
@@ -1,176 +0,0 @@
-<html>
-<head>
- <title>MOA-ID Anwendung</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
-<link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
- <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
- <p class="subtitle">Basis-Installation</p>
- <hr/>
-<h1>Inhalt</h1>
- <ol>
- <li>
- <p><a href="#uebersicht">&Uuml;bersicht</a></p>
- </li>
- <li>
- <p><a href="#webservice">Aufruf des MOA-ID-AUTH Web Service</a></p>
- </li>
- <li>
- <p><a href="#proxy">Einsatz von MOA-ID-PROXY zum Abfragen der Anmeldedaten von MOA-ID-AUTH</a></p>
- </li>
-</ol>
- <hr/>
-
-<h1><a name="uebersicht" id="uebersicht">1 &Uuml;bersicht</a></h1>
-Nach erfolgter Authentisierung stehen in MOA-ID-AUTH Anmeldedaten zum Abholen bereit,
- und MOA-ID-AUTH veranlasst einen Redirect zur Online-Applikation (OA). <br />
- <br />
- In diesem Redirect werden der Gesch&auml;ftsbereich und ein SAML-Artifact als Parameter &uuml;bergeben.
-<pre>&lt;a href=&quot;https://&lt;oa-url&gt;
-?Target=&lt;gesch&auml;ftsbereich&gt;
-&SAMLArtifact=&lt;saml-artifact&gt;&quot;&gt;</pre>
-<table border="1">
- <tbody valign="baseline">
- <tr>
- <td>&lt;oa-url&gt;</td>
- <td>URL, der beim Aufruf von MOA-ID-AUTH als Parameter &quot;OA&quot; &uuml;bergeben wurde</td>
- </tr>
- <tr>
- <td>Target=&lt;gesch&auml;ftsbereich&gt;</td>
- <td>Parameter, der beim Aufruf von MOA-ID-AUTH &uuml;bergeben wurde</td>
- </tr>
- <tr>
- <td>SAMLArtifact=&lt;saml-artifact&gt;</td>
- <td>SAML-Artifact, das von MOA-ID-AUTH zu den Anmeldedaten erstellt wurde.
- Mithilfe dieses SAML-Artifacts kann die OA die Anmeldedaten von MOA-ID-AUTH abholen.</td>
- </tr>
- </tbody>
-</table>
-<br/>
- Grunds&auml;tzlich stehen einer OA mehrere Arten zum Abholen der Anmeldedaten von MOA-ID-AUTH zur Verf&uuml;gung:
-<ol>
- <li>Die Applikation ruft selbst das MOA-ID-AUTH Web Service auf. <br/>
- Die Implementierung dieser Variante wird empfohlen, insbesondere f&uuml;r Online-Applikationen, die neu erstellt werden. </li>
- <li>Es wird die MOA-ID-PROXY Webapplikation eingesetzt, um die Anmeldedaten abzuholen und an die OA zu &uuml;bergeben. <br/>
- Aus Sicht von MOA-ID-PROXY ist bedeutsam, ob die OA die Anmeldedaten nach Abarbeitung des HTTP-Requests beh&auml;lt.
- <ul>
- <li>Stateful OA: MOA-ID-PROXY &uuml;bergibt einmalig die Anmeldedaten an die OA, und die OA speichert die Anmeldedaten, typischerweise unter Einsatz von Cookies.</li>
- <li>Stateless OA: MOA-ID-PROXY &uuml;bergibt die Anmeldedaten bei jedem HTTP-Request vom Browser des B&uuml;rgers an die OA.</li>
- </ul>
- Diese Variante ist vorzuziehen, wenn
- <ul>
- <li>f&uuml;r die Plattform, auf der die OA aufbaut, Web Service-Schnittstellen nicht verf&uuml;gbar sind</li>
- <li>das n&ouml;tige Web Service-Know How nicht zur Verf&uuml;gung steht</li>
- <li>die Implementierung von Variante 1 zu aufw&auml;ndig w&auml;re</li>
- <li>eine Anpassung der OA aus bestimmten Gr&uuml;nden nicht m&ouml;glich ist</li>
- </ul>
- </li>
-</ol>
-
-<h1><a name="webservice" id="webservice">2 Aufruf des MOA-ID-AUTH Web Service</a></h1>
-<p>Das MOA-ID-AUTH Web Service wird &uuml;ber einen &lt;samlp:Request&gt; aufgerufen.
- Der &lt;samlp:Request&gt; enth&auml;lt in einem &lt;samlp:AssertionArtifact&gt; das von MOA-ID-AUTH &uuml;bergebene SAML-Artifact. <br/>
- <br/>
- MOA-ID-AUTH liefert als Antwort einen &lt;samlp:Response&gt;. Die Anmeldedaten sind im &lt;samlp:Response&gt; in Form einer &lt;saml:Assertion&gt; enthalten.
-<ul>
- <li>
- <a href="../cs-sstc-schema-protocol-01.xsd">SAML 1.0 Protocol Schema</a> <br/>
- </li>
- <li>
-<a href="../cs-sstc-schema-assertion-01.xsd">SAML 1.0 Assertion Schema</a> </p>
-</li>
-</ul>
-<p>Der detaillierte Aufbau der &lt;saml:Assertion&gt; zu den Anmeldedaten ist in der <a href="../MOA_ID_1.4_20070306.pdf">Spezifikation MOA-ID 1.4</a> beschrieben. <br/>
- <br/>
- <b>Beispiel LoginServletExample</b>
- Das Abholen der Anmeldedaten durch Aufruf des Web Service von MOA-ID-AUTH wird anhand eines beispielhaften Java Servlet gezeigt.
- Das LoginServletExample wird in einer Stateful OA von MOA-ID-AUTH nach erfolgter Authentisierung &uuml;ber Redirect aufgerufen. <br/>
- <br/>
- Das Beispiel demonstriert insgesamt die Integration von MOA-ID-AUTH in die OA:
-</p>
-<ul>
- <li>Parameter&uuml;bergabe von MOA-ID-AUTH an die OA</li>
- <li>Aufruf des MOA-ID-AUTH Web Service mittels des SOAP Frameworks "Apache AXIS"</li>
- <li>Parsen der Anmeldedaten mittels der XPath Engine "Jaxen"</li>
- <li>Speichern der Anmeldedaten in der HTTPSession</li>
- <li>Redirect auf die eigentliche Startseite der OA</li>
-</ul>
-<p><b>Voraussetzungen</b><br >
- Die folgende Liste enth&auml;lt die f&uuml;r das Beispiel erforderlichen Java-Bibliotheken. Die angef&uuml;hrten Versionsnummern bezeichnen jene Versionen dieser Java-Bibliotheken, mit denen das Beispiel getestet wurde.</p>
-<table border="1" width="100%" cellpadding="2" cellspacing="0">
- <tr>
- <th>Java-Bibliothek</th>
- <th>Version</th>
- <th>Bemerkung</th>
- </tr>
- <tr>
- <tr valign="top">
- <td>JDK</td>
- <td>1.4.0+, 1.5.0</td>
- <td>Java Development Kit</td>
- </tr>
- <tr valign="top">
- <td>Xerces <br />
- XML Parser</td>
- <td>2.0.2+</td>
- <td id="klein2">Download: <a href="http://xml.apache.org/xerces2-j/">xml.apache.org/xerces2-j</a></td>
- </tr>
- <tr valign="top">
- <td>AXIS <br />
- SOAP Framework</td>
- <td>1.0+</td>
- <td id="klein2">Download: <a href="http://xml.apache.org/axis/">xml.apache.org/axis</a></td>
- </tr>
- <tr valign="top">
- <td>Jaxen XPath Engine</td>
- <td>1.0+</td>
- <td id="klein2">Download: <a href="http://jaxen.sourceforge.net/">http://jaxen.sourceforge.net</a></td>
- </tr>
- <tr valign="top">
- <td>Servlet API</td>
- <td>2.3+</td>
- <td id="klein2">Download: <a href="http://java.sun.com/products/servlet/">java.sun.com/products/servlet</a></td>
- </tr>
-</table>
-<br/>
-<b>Code</b><br />
-<a href="examples/LoginServletExample.txt">LoginServletExample</a>
-
-<h1><a name="proxy" id="proxy">3 Einsatz von MOA-ID-PROXY zum Abfragen der Anmeldedaten von MOA-ID-AUTH</a></h1>
-Anstatt den Aufruf des MOA-ID-AUTH Web Service in der OA zu implementieren, kann die MOA-ID-PROXY Webapplikation eingesetzt werden, um dies f&uuml;r die OA zu erledigen. MOA-ID-PROXY muss f&uuml;r die OA konfiguriert werden, so wie in <a href="id-admin_2.htm#OnlineApplication/ProxyComponent">MOA-ID-Administration</a> beschrieben. <br/>
- <br/>
- Bei der Konfiguration ist speziell zu beachten: <br/>
- <br/>
- <b>Konfigurationsdatei zur OA</b><br />
- Der <a href="id-admin_2.htm#oa-config">LoginType</a> (stateful oder stateless) ist gem&auml;&szlig; dem Applikationstyp zu setzen. <br/>
- <br/>
- Die <a href="id-admin_2.htm#oa-config">&Uuml;bergabe der Anmeldedaten</a> ist in Form und Inhalt zu konfigurieren.
-<ul>
- <li>BasicAuth: HTTP Basic Authentication (<a href="examples/conf/OAConfBasicAuth.xml">Beispiel</a>)</li>
- <li>ParamAuth: &Uuml;bergabe &uuml;ber Requestparameter (<a href="examples/conf/OAConfParamAuth.xml">Beispiel</a>)</li>
- <li>HeaderAuth: &Uuml;bergabe &uuml;ber Requestheader (<a href="examples/conf/OAConfHeaderAuth.xml">Beispiel</a>)</li>
-</ul>
-<b>LoginParameterResolver</b><br />
- Das &Uuml;bergabe der Anmeldedaten an die OA &uuml;ber Request Parameter oder Header geschieht in einer Standardimplementierung des Interface
- <pre>at.gv.egovernment.moa.proxy.LoginParameterResolver</pre>
- Falls die Erfordernisse der OA mittels <a href="id-admin_2.htm#oa-config">Konfiguration</a> nicht abgedeckt werden k&ouml;nnen,
- so kann eine ma&szlig;geschneiderte Implementierung von <tt>LoginParameterResolver</tt> erstellt und zusammen mit MOA-ID-PROXY zum Einsatz gebracht werden
- (siehe <a href="../api-doc/at/gv/egovernment/moa/id/proxy/LoginParameterResolver.html">API</a>). <br/>
- <br/>
- <b>ConnectionBuilder</b> Das Herstellen einer URL-Verbindung von MOA-ID-PROXY zur OA geschieht einer Standardimplementierung des Interface
-<pre>at.gv.egovernment.moa.proxy.ConnectionBuilder </pre>
- Falls n&ouml;tig, kann eine ma&szlig;geschneiderte Implementierung von <tt>ConnectionBuilder</tt> erstellt und zusammen mit MOA-ID-PROXY zum Einsatz gebracht werden
- (siehe <a href="../api-doc/at/gv/egovernment/moa/id/proxy/ConnectionBuilder.html">API</a>).
-</body>
-</html>
diff --git a/id/server/doc/moa_id/intro.htm b/id/server/doc/moa_id/intro.htm
deleted file mode 100644
index 0c6dff359..000000000
--- a/id/server/doc/moa_id/intro.htm
+++ /dev/null
@@ -1,182 +0,0 @@
-<html>
-<head>
- <title>MOA Module fuer Online Applikationen - Identifikation</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
- <link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
- <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
- <p class="subtitle">Allgemeine Informationen </p>
- <hr/>
-<h1>Inhalt</h1>
- <ol>
- <li>
- <p><a href="#uebersicht">&Uuml;bersicht</a></p>
- </li>
- <li>
- <p><a href="#anmeldung">Ablauf einer Anmeldung</a></p>
- </li>
- <li>
- <p><a href="#foreign">Erg&auml;nzung f&uuml;r ausl&auml;ndische B&uuml;rger</a></p>
- </li>
- <li>
- <p><a href="#mandate">Online-Vollmachten</a></p>
- </li>
- </ol>
- <hr/>
-
- <h1><a name="uebersicht" id="uebersicht"></a>1 &Uuml;bersicht</h1>
-
-Das Modul Identifikation stellt Online-Applikationen Funktionalit&auml;t zur Verf&uuml;gung zu stellen, damit diese
-eine Benutzer-Identifikation und -Authentisierung mit Hilfe der B&uuml;rgerkarte und deren Signaturfunktion
-realisieren k&ouml;nnen.
-<br /><br />
-Das Modul besteht aus zwei Komponenten:
-<ul>
-<li>Die Authentisierungskomponente (MOA-ID-AUTH) f&uuml;hrt die eigentliche Authentisierung des Benutzers durch und &uuml;bergibt der
-Proxykomponente die Anmeldedaten.</li>
-<li>Die Proxykomponente (MOA-ID-PROXY) &uuml;bernimmt die Anmeldedaten von der Authentisierungskomponente,
-f&uuml;hrt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation
-und Daten an den Benutzer durch.</li>
-</ul>
-Diese beiden Komponenten k&ouml;nnen auf unterschiedlichen Rechnern
-oder auf dem gleichen Rechner eingesetzt werden.
-<br /><br />
-Die Funktionalit&auml;t und der Aufbau der Schnittstelle zu MOA-ID ist in der
-<a href="../MOA_ID_1.4_20070802.pdf" target="_new">Spezifikation</a> bzw. im <a href="../MOA_ID_1.5_Anhang.pdf" target="_new">Anhang zur Spezifikation</a> detailliert beschrieben.
-<br />
-<br />
-F&uuml;r den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturpr&uuml;fung (MOA-SP) erforderlich.
-</div>
-
-<br /><br />
-<h1><a name="anmeldung" id="anmeldung"></a>2 Ablauf einer Anmeldung</h1>
-
-<img src="moa-id-ablauf.jpg"/>
-
-<table width="550" border="0" cellspacing="3" cellpadding="2">
-
-<tr>
-<td valign="top" width="30">1</td>
-<td id="block">Der Benutzer verbindet sich zu einem Web-Portal, &uuml;ber das die verf&uuml;gbaren Online-Applikationen (OA) erreichbar sind. Jeder Link zu einer OA verweist auf die Authentisierungs-komponente.
-</td>
-</tr>
-
-<tr>
-<td valign="top">2</td>
-<td id="block">Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des
-Benutzers durchf&uuml;hrt:</td>
-</tr>
-
-<tr>
-<td valign="top">2.1</td>
-<td id="block">MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verf&uuml;gbaren B&uuml;rgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an.</td>
-</tr>
-
-<tr>
-<td valign="top">2.2</td>
-<td id="block">MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <tt>&lt;InfoboxReadRequest&gt;</tt>
- zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.</td>
-</tr>
-
-<tr>
-<td valign="top">2.3</td>
-<td id="block">Der Browser schickt den <tt>&lt;InfoboxReadRequest&gt;</tt> an den ausgew&auml;hlten Security-Layer. Der Security-Layer liest die
-Personenbindung von der B&uuml;rgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch
-einen Aufruf von MOA-SP &uuml;berpr&uuml;ft.
-</td>
-</tr>
-
-<tr>
-<td valign="top">2.4</td>
-<td id="block">MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enth&auml;lt
-<ul>
-<li>Vor- und Nachname aus der Personenbindung,</li>
-<li>URL von MOA-ID-AUTH,</li>
-<li>URL und Gesch&auml;ftsbereich der Online-Applikation,</li>
-<li>die aktuelle Zeit.</li>
-</ul>
-Anschlie&szlig;end wird
-eine XML Antwortseite, die das Kommando zum Signieren (<tt>&lt;CreateXMLSignatureRequest&gt;</tt>) des generierten
-AUTH-Blocks enth&auml;lt, an den ausgew&auml;hlten Security-Layer gesendet.</td>
-</tr>
-
-<tr>
-<td valign="top">2.5</td>
-<td id="block">Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an
-MOA-ID-AUTH zur&uuml;ckgesendet.</td>
-</tr>
-
-<tr>
-<td valign="top">2.6</td>
-<td id="block">MOA-ID-AUTH &uuml;berpr&uuml;ft den signierten AUTH-Block und legt f&uuml;r den Benutzer die Anmeldedaten
-an. Die Anmeldedaten enthalten
-<ul>
-<li>die bereichsspezifische Personenkennzeichen (bPK),</li>
-<li>den signierten AUTH-Block (optional),</li>
-<li>die Personenbindung (optional),</li>
-<li>die <tt>PersonData</tt>-Struktur aus der Personenbindung (optional),</li>
-<li>die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte,</li>
-<li>Informationen zur Beh&ouml;rde, falls die Signatur mit einem Beh&ouml;rdenzertifikat erzeugt wurde.</li>
-</ul>
-</td>
-</tr>
-
-<tr>
-<td valign="top">2.7</td>
-<td id="block">Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite
-zum Browser gesendet.</td>
-</tr>
-
-<tr>
-<td valign="top">3</td>
-<td id="block">Der Browser f&uuml;hrt das Redirect zur Proxykomponente durch. Als Parameter wird das von MOA-ID-AUTH
-erzeugte SAML-Artifact &uuml;bergeben.</td>
-</tr>
-
-<tr>
-<td valign="top">4</td>
-<td id="block">Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten
-von MOA-ID-AUTH zu erhal-ten. Danach werden die Anmeldedaten in MOA-ID-AUTH gel&ouml;scht.</td>
-</tr>
-
-<tr>
-<td valign="top">5</td>
-<td id="block">MOA-ID-PROXY liest die Konfigurationsdatei der zugeh&ouml;rigen Online-Applikation, die beschreibt, wie die Anmeldedaten
-an die nachfolgende Applikation &uuml;bergeben werden m&uuml;ssen, und meldet den Benutzer bei der Applikation an.</td>
-</tr>
-
-<tr>
-<td valign="top">6</td>
-<td id="block">Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA
-an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet.</td>
-</tr>
-
-
-</table>
-
-
-<h1><a name="foreign" id="foreign"></a>3 Erg&auml;nzung f&uuml;r ausl&auml;ndische B&uuml;rger</h1>
-
- <p>Ab der MOA Release 1.4.7 ist es m&ouml;glich, dass sich auch ausl&auml;ndische B&uuml;rger mittels MOA-ID einloggen k&ouml;nnen. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausl&auml;ndischen B&uuml;rgers eine Eintragung im Erg&auml;nzungsregister f&uuml;r nat&uuml;rliche Personen gem&auml;&szlig; E-Government Gesetz &sect;6(5) vornimmt. Somit ist es m&ouml;glich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird. </p>
- <p>Der Zugang zu diesem Stammzahlenregister-Gateway ist &uuml;ber eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p>
- <p>Ab MOA Release 1.5.2 ist es auch m&ouml;glich, ausl&auml;ndische B&uuml;rger &uuml;ber <a href="http://eid-stork.eu/" target="_new">STORK</a> zu authentifizieren. Da auch f&uuml;r diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angef&uuml;hrten Ausf&uuml;hrungen auch f&uuml;r STORK.</p>
-
-
- <h1><a name="mandate" id="mandate"></a>4 Online-Vollmachten</h1>
-
- <p>Ab der MOA Release 1.5.0 werden Online-Vollmachten (f&uuml;r Anwendungen aus dem &ouml;ffentlichen Bereich) unterst&uuml;tzt. Hierzu werden diese Vollmachten &uuml;ber eine Online-Vollmachten-Service ausgew&auml;hlt. Der Zugang zu diesem Online-Vollmachten Service ist &uuml;ber eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p>
-</div>
-
-</body>
-</html>
diff --git a/id/server/doc/moa_id/links.htm b/id/server/doc/moa_id/links.htm
deleted file mode 100644
index c7feefea4..000000000
--- a/id/server/doc/moa_id/links.htm
+++ /dev/null
@@ -1,64 +0,0 @@
-<html>
-<head>
- <title>MOA-ID Links</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
-<link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
- <p class="title"><a href="./moa.htm">MOA: Identifikation (ID)</a></p>
- <p class="subtitle">Links </p>
- <hr/>
-
-
-
-<p><b>Externe Komponenten</b></p>
- <p>Apache <br />
- <a href="http://httpd.apache.org/">http://httpd.apache.org/</a>
-</p>
- <p>Internet Information Server <br>
- <a href="http://www.iis.net/">http://www.iis.net/</a>
- </p>
- <p>Tomcat <br />
- <a href="http://tomcat.apache.org/">http://tomcat.apache.org/</a>
- </p>
- <p>Tomcat mod_SSL <br />
- <a href="http://httpd.apache.org/docs/2.2/ssl/">http://httpd.apache.org/docs/2.2/ssl/</a>
-</p>
- <p>Tomcat mod_jk <br />
- <a href="http://tomcat.apache.org/connectors-doc/">http://tomcat.apache.org/connectors-doc/</a>
-</p>
- <p>Logging Toolkit <br />
- <a href="http://jakarta.apache.org/log4j/">http://jakarta.apache.org/log4j/</a>
-</p>
- <p>IAIK JCE <br />
- <a href="http://jce.iaik.tugraz.at/products/index.php">http://jce.iaik.tugraz.at/products/index.php </a>
-</p>
- <p>PostgreSQL <br />
- <a href="http://www.postgresql.org/">http://www.postgresql.org/</a>
- </p>
- <p><b>Spezifikationen</b></p>
- <p>
-DOM <br />
- <a href="http://www.w3c.org/DOM/">http://www.w3c.org/DOM</a>
-<p>E-Government <br />
- <a href="http://reference.e-government.gv.at/">http://reference.e-government.gv.at</a>
-<p>B&uuml;rgerkarte<br />
- <a href="http://www.buergerkarte.at">http://www.buergerkarte.at</a>
-<p>Security Layer Version 1.2<br />
- <a href="http://www.buergerkarte.at/konzept/securitylayer/spezifikation/aktuell/">http://www.buergerkarte.at/konzept/securitylayer/spezifikation/aktuell/</a>
-<p>Personenbindung Version 1.2.2<br />
- <a href="http://www.buergerkarte.at/konzept/personenbindung/spezifikation/aktuell/">http://www.buergerkarte.at/konzept/personenbindung/spezifikation/aktuell/</a>
-<p>Security Assertion Markup Language <br />
- <a href="http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security">http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security</a>
-
-</body>
-</html>
diff --git a/id/server/doc/moa_id/moa-id-ablauf.jpg b/id/server/doc/moa_id/moa-id-ablauf.jpg
deleted file mode 100644
index 0585664f4..000000000
--- a/id/server/doc/moa_id/moa-id-ablauf.jpg
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_id/moa.htm b/id/server/doc/moa_id/moa.htm
deleted file mode 100644
index 62f6115ea..000000000
--- a/id/server/doc/moa_id/moa.htm
+++ /dev/null
@@ -1,34 +0,0 @@
-<html>
-<head>
- <title>MOA Module fuer Online Applikationen</title>
- <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
- <link rel="stylesheet" href="./common/MOA.css" type="text/css">
-</head>
-
-<body link="#990000">
-
-<table class="logoTable" width="100%" border="0" cellspacing="0" cellpadding="10">
- <tr>
- <td align="center" class="logoTitle" width="267"><img src="common/LogoBKA.png" alt="Logo BKA" width="267" height="37" align="left"></td>
- <td align="center" class="logoTitle">Dokumentation</td>
- <td align="center" class="logoTitle" width="123"><img src="common/LogoEGIZ.png" alt="Logo EGIZ" width="230" height="81" align="right"></td>
- </tr>
-</table>
- <hr/>
- <p class="title">MOA: Identifikation (ID) </p>
- <p class="subtitle">&Uuml;bersicht zur Dokumentation der Version 2.0 </p>
- <hr/>
- <dl>
- <dt><a href="./intro.htm">Allgemein</a></dt>
- <dd>Allgemeine Informationen zu MOA-ID.</dd>
- <dt><a href="./id-admin.htm">Administration</a></dt>
- <dd>Detaillierte Anleitung f&uuml;r die Installation und Konfiguration.</dd>
- <dt><a href="./id-anwendung.htm">Anwendung</a></dt>
- <dd>Erl&auml;uterung der Anwendung von MOA-ID.</dd>
- <dt><a href="./faqs.htm">FAQ</a></dt>
- <dd>H&auml;ufig gestellte Fragen zu Installation, Konfiguration und Anwendung. </dd>
- <dt><a href="./links.htm">Links</a></dt>
- <dd>H&auml;ufig gestellte Fragen zu Installation, Konfiguration und Anwendung. </dd>
- </dl>
- </body>
-</html>
diff --git a/id/server/doc/moa_images/east.gif b/id/server/doc/moa_images/east.gif
deleted file mode 100644
index e76117cb0..000000000
--- a/id/server/doc/moa_images/east.gif
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_images/idle.gif b/id/server/doc/moa_images/idle.gif
deleted file mode 100644
index 28b8148e5..000000000
--- a/id/server/doc/moa_images/idle.gif
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_images/moa_diagramm1.jpg b/id/server/doc/moa_images/moa_diagramm1.jpg
deleted file mode 100644
index 776331fb8..000000000
--- a/id/server/doc/moa_images/moa_diagramm1.jpg
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_images/moa_thema.gif b/id/server/doc/moa_images/moa_thema.gif
deleted file mode 100644
index f59075528..000000000
--- a/id/server/doc/moa_images/moa_thema.gif
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_images/north.gif b/id/server/doc/moa_images/north.gif
deleted file mode 100644
index b4316b5d7..000000000
--- a/id/server/doc/moa_images/north.gif
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_images/pfeil.gif b/id/server/doc/moa_images/pfeil.gif
deleted file mode 100644
index e4eeb1740..000000000
--- a/id/server/doc/moa_images/pfeil.gif
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_images/print.gif b/id/server/doc/moa_images/print.gif
deleted file mode 100644
index b8e59144e..000000000
--- a/id/server/doc/moa_images/print.gif
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_images/select.gif b/id/server/doc/moa_images/select.gif
deleted file mode 100644
index 59a1694c5..000000000
--- a/id/server/doc/moa_images/select.gif
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_images/south.gif b/id/server/doc/moa_images/south.gif
deleted file mode 100644
index c70ab3e97..000000000
--- a/id/server/doc/moa_images/south.gif
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_images/transdot.gif b/id/server/doc/moa_images/transdot.gif
deleted file mode 100644
index e31aba280..000000000
--- a/id/server/doc/moa_images/transdot.gif
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/moa_images/west.gif b/id/server/doc/moa_images/west.gif
deleted file mode 100644
index 135698ee7..000000000
--- a/id/server/doc/moa_images/west.gif
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/old/Architektur ID.vsd b/id/server/doc/old/Architektur ID.vsd
deleted file mode 100644
index d4678007a..000000000
--- a/id/server/doc/old/Architektur ID.vsd
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/old/MOA-ID Feinspezifikation.doc b/id/server/doc/old/MOA-ID Feinspezifikation.doc
deleted file mode 100644
index e71ffa8e6..000000000
--- a/id/server/doc/old/MOA-ID Feinspezifikation.doc
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/old/MOA-Testzertifikate.pdf b/id/server/doc/old/MOA-Testzertifikate.pdf
deleted file mode 100644
index a2c44f2a2..000000000
--- a/id/server/doc/old/MOA-Testzertifikate.pdf
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/old/MOA-Testzertifikate.vsd b/id/server/doc/old/MOA-Testzertifikate.vsd
deleted file mode 100644
index c36051c04..000000000
--- a/id/server/doc/old/MOA-Testzertifikate.vsd
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/old/bku-auswahl.20030408.pdf b/id/server/doc/old/bku-auswahl.20030408.pdf
deleted file mode 100644
index 39efe315f..000000000
--- a/id/server/doc/old/bku-auswahl.20030408.pdf
+++ /dev/null
Binary files differ
diff --git a/id/server/doc/old/moa-id.htm b/id/server/doc/old/moa-id.htm
deleted file mode 100644
index 82e5adc19..000000000
--- a/id/server/doc/old/moa-id.htm
+++ /dev/null
@@ -1,7 +0,0 @@
-<html>
-<head>
-<meta http-equiv="refresh" content="0; URL=moa_id/moa.htm"/>
-
-</head>
-<body></body>
-</html> \ No newline at end of file