aboutsummaryrefslogtreecommitdiff
path: root/id/server/doc
diff options
context:
space:
mode:
Diffstat (limited to 'id/server/doc')
-rw-r--r--id/server/doc/moa_id/id-admin_2.htm154
-rw-r--r--id/server/doc/moa_id/moa.htm1
2 files changed, 154 insertions, 1 deletions
diff --git a/id/server/doc/moa_id/id-admin_2.htm b/id/server/doc/moa_id/id-admin_2.htm
index 8a217bfcc..c5ba8827b 100644
--- a/id/server/doc/moa_id/id-admin_2.htm
+++ b/id/server/doc/moa_id/id-admin_2.htm
@@ -519,6 +519,76 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
<p><b>AuthComponent/ForeignIdentities</b> <br />
Ab Version 1.4.7 bietet MOA-ID die M&ouml;glichkeit der Nutzung von ausl&auml;ndischen Karten. Hierf&uuml;r ist ein Stammzahlenregister-Gateway n&ouml;tig, das einen entsprechenden Zugang zum Stammzahlenregister bereitstellt. Es ist hierzu ein entsprechender <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> zu definieren, der die Zugangsdaten zum Gateway bereith&auml;lt (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>). In der Default-Konfiguration ist der Zugang zum Stammzahlenregister-Gateway bereits aktiviert. Es muss nur noch das Client-Zertifikat f&uuml;r die SSL-Verbinung zum Gateway angegeben werden. Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben.<br />
</p>
+ <p><b>AuthComponent/ForeignIdentities/STORK</b> <br />
+ <p>Ab MOA Release 1.5.2 ist es auch m&ouml;glich, ausl&auml;ndische B&uuml;rger &uuml;ber <a href="http://eid-stork.eu/" target="_new">STORK</a> zu authentifizieren. Da auch f&uuml;r diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angef&uuml;hrten Ausf&uuml;hrungen hinsichtlich <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> auch f&uuml;r STORK. F&uuml;r eine STORK Authentifizierung sind jedoch noch weitere Konfigurationen notwendig. Folgende Eintr&auml;ge m&uuml;ssen f&uuml;r eine STORK Authentifizierung hier noch konfiguriert werden:
+ <ul>
+ <li>C-PEPS Informationen
+ <br />
+ </li>
+ <li>KeyStore zum SAML Signatur-Zertifikat
+ <br />
+ </li>
+ <li>MOA-SP TrustProfil zur SAML Signatur-Validierung
+ <br />
+ </li>
+ </ul>
+ </p>
+ <p><b>AuthComponent/ForeignIdentities/STORK/C-PEPS</b> <br />
+ Unter diesem Konfigurationselement k&ouml;nnen die Verbindungsparameter zu den jeweiligen C-PEPS (Citizen Country - PEPS) der europ&auml;ischen L&auml;nder, die auch STORK unterst&uuml;tzen, angegeben werden. F&uuml;r eine erfolgreiche C-PEPS Konfiguration muss der ISO-Country Code des jeweiligen Landes und die dazugeh&ouml;rige C-PEPS URL angegeben werden. In Ausnahmenf&auml;llen m&uuml;ssen bei einzelnen C-PEPS l&auml;nderspezifische Attribute abgefragt werden, dies funktioniert durch zus&auml;tzliche Angabe eines <tt>&lt;stork:RequestedAttribute&gt;</tt> Elements. Die C-PEPS Konfigurationen sind in den der MOA-Release beliegenden Beispielkonfigurationen bereits vorkonfiguriert. Sollte sich an diesen Konfigurationen etwas &auml;ndern, werden diese via JoinUp (<a href="https://joinup.ec.europa.eu/software/moa-idspss/home" target="_new">MOA@JoinUp</a>) bzw. MOA-Mailingliste ver&ouml;ffentlicht. Im Folgenden wird eine Beispielkonfiguration kurz veranschaulicht.
+ <pre>
+&lt;C-PEPS countryCode="PT" URL="https://eu-id.cartaodecidadao.gov.pt/PEPS/ColleagueRequest"/&gt;
+&lt;C-PEPS countryCode="SI" URL="https://peps.mju.gov.si/PEPS/ColleagueRequest"&gt;
+ &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/fiscalNumber" isRequired="true" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/&gt;
+&lt;/C-PEPS&gt;
+</pre>
+ Details zur Angabe von <tt>&lt;stork:RequestedAttribute&gt;</tt> bzw. welche Attribute von STORK &uuml;berhaupt unterst&uuml;tzt werden, wird in der Konfiguration zur Online Application angegeben (<a href="#OnlineApplication/AuthComponent/STORK">hier</a>).
+
+ <p><b>AuthComponent/ForeignIdentities/STORK/SAMLSigningParameter</b> <br />
+ Dieser Konfigurationseintrag enth&auml;lt Informationen dazu, mit welchem Zertifikat ausgehende STORK SAML Nachichten signiert werden und welches MOA-SP TrustProfil zur Signatur&uuml;berpr&uuml;fung von empfangenen STORK SAML Nachrichten herangezogen werden soll.
+ In der Konfiguration wird eine Unterscheidung zwischen Signaturerstellungs- und Signaturverifizierungsparameter getroffen:
+ <ul>
+ <li><tt>&lt;SignatureCreationParameter&gt;</tt>
+ <br />
+ </li>
+ <li><tt>&lt;SignatureVerificationParameter&gt;</tt>
+ <br />
+ </li>
+ </ul>
+ Der <tt>&lt;SignatureCreationParameter&gt;</tt> kapselt dabei Informationen, welche zum Signieren von ausgehenden STORK SAML Nachrichten ben&ouml;tigt werden. Im Wesentlichen sind das Informationen zu dem KeyStore, welcher das Schl&uuml;sselpaar zum Signieren ausgehender STORK SAML Nachrichten beinhaltet. Der entsprechende Konfigurationseintrag sieht wie folgt aus:
+<pre>
+&lt;SignatureCreationParameter&gt;
+ &lt;KeyStore password="Keystore Pass"&gt;file_to_keystore&lt;/KeyStore&gt;
+ &lt;KeyName password="Keystore Name"&gt;signing_key_name&lt;/KeyName&gt;
+&lt;/SignatureCreationParameter&gt;
+</pre>
+ Die folgenden Werte sind dabei anzugeben bzw. durch echte Werte auszutauschen:
+ <ul>
+ <li><tt>file_to_keystore</tt>: Relativer Pfad zum KeyStore (Java oder PKCS#12), welcher das Schl&uuml;sselpaar zum Signieren ausgehender STORK SAML Nachrichten speichert
+ <br />
+ </li>
+ <li><tt>Keystore Pass</tt>: Passwort zum angegebenen KeyStore
+ <br />
+ </li>
+ <li><tt>signing_key_name</tt>: Alias Name des Schl&uuml;ssels, welcher zum Signieren verwendet werden soll
+ <br />
+ </li>
+ <li><tt>Key Pass</tt>: Passwort zum angegebenen Schl&uuml;ssel
+ <br />
+ </li>
+ </ul>
+ Der <tt>&lt;SignatureCreationParameter&gt;</tt> kapselt dabei Informationen, die f&uuml;r eine Signaturpr&uuml;fung von eingehenden STORK SAML Nachrichten ben&ouml;tigt werden. Im Wesentlich ist das die Angabe des MOA-SP TrustProfils, welches die vertrauensw&uuml;rdigen Zertifikate der europ&auml;ischen C-PEPS enth&auml;lt. Der entsprechende Konfigurationseintrag sieht daher wie folgt aus:
+<pre>
+&lt;SignatureVerificationParameter&gt;
+ &lt;TrustProfileID&gt;C-PEPS&lt;/TrustProfileID&gt;
+&lt;/SignatureVerificationParameter&gt;
+</pre>
+Die folgenden Werte sind dabei anzugeben:
+ <ul>
+ <li><tt>TrustProfile</tt>: Dieser Eintrag gibt jenes TrustProfil von MOA-SP an, welches zur Signaturpr&uuml;fung von eingehenden STORK SAML Nachrichten herangezogen werden soll. Vorkonfiguriert sind die beiden TrustProfiles <tt>C-PEPS</tt> (Produktive C-PEPS Zertifikate) und <tt>C-PEPS-Test</tt> (Test C-PEPS Zertifikate). Sollte es auch hier zu &Auml;nderungen kommen, werden diese auch via JoinUp (<a href="https://joinup.ec.europa.eu/software/moa-idspss/home" target="_new">MOA@JoinUp</a>) bzw. MOA-Mailingliste ver&ouml;ffentlicht.
+ <br />
+ </li>
+ </ul>
+
<p><b><div id="AuthComponent_OnlineMandates">AuthComponent/OnlineMandates</div></b> <br />
Ab Version 1.5.0 bietet MOA-ID die M&ouml;glichkeit der Nutzung von Online-Vollmachten f&uuml;r Anwendungen aus dem &ouml;ffentlichen Bereich. Hierf&uuml;r ist ein Online-Vollmachten-Service n&ouml;tig. Es ist hierzu ein ensprechender <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a> zu definieren, der die Zugangsdaten zum Online-Vollmachten-Service bereith&auml;lt (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>). In der Default-Konfiguration ist der Zugang zum Online-Vollmachten-Service bereits aktiviert. Es muss nur noch das Client-Zertifikat f&uuml;r die SSL-Verbinung zum Service angegeben werden. Voraussetzung daf&uuml;r ist ein Zertifikat von A-Trust bzw. A-CERT mit Verwaltungseigenschaft oder Dienstleistereigenschaft. Wenn ihr MOA-ID Zertifikat diese Voraussetzung erf&uuml;llt, k&ouml;nnen Sie dieses hier angeben.<br />
Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu aktivieren, m&uuml;ssen Sie das Vollmachten Profil angeben - siehe <a href="#OnlineApplication/AuthComponent/Mandates">hier</a>.
@@ -923,11 +993,93 @@ Hinweis: Um den Online-Vollmachten Modus f&uuml;r eine Online Applikation zu akt
Mit Hilfe dieses Elements werden die Online-Vollmachten f&uuml;r die Online-Applikation aktiviert.
Als Kindelement muss <tt>Profiles</tt> angegeben werden. Dieses Element beinhaltet eine (Komma-separierte)
Liste von Vollmachten-Profilen, die festlegen mit welchen Vollmachtstypen man sich bei der Online-Applikation anmelden kann.
- Unter <a href="https://vollmachten.stammzahlenregister.gv.at/mis/" target="_blank">https://vollmachten.stammzahlenregister.gv.at/mis/</a> finden Sie eine Liste der unterstützen Vollmachten-Profile.<br/>
+ Unter <a href="https://vollmachten.stammzahlenregister.gv.at/mis/" target="_blank">https://vollmachten.stammzahlenregister.gv.at/mis/</a> finden Sie eine Liste der unterst&uuml;tzen Vollmachten-Profile.<br/>
Hinweis: Hierzu muss auch die Verbindung zum Online-Vollmachten Service konfiguriert werden - siehe <a href="#AuthComponent_OnlineMandates">hier</a>
</p>
</div>
+ <div id="OnlineApplication/AuthComponent/STORK" />
+ <p id="block"> <b>OnlineApplication/AuthComponent/STORK</b>
+ <br />
+ Innerhalb dieses Konfigurationsblocks kann angegeben werden, welche zus&auml;tzlichen Attribute (neben eIdentifier, givenName, surname und dateOfBirth, welche defaultm&auml;&szligig requested werden) im Rahmen einer STORK Anmeldung f&uuml;r diese Applikation vom B&uuml;rger abgefragt werden sollen. Au&szligerdem kann zu Testzwecken das ben&ouml;tigte Authentifzierungslevel (STORK QAALevel) vom defaultm&auml;&szligig h&ouml;chstem Level von 4 f&uuml;r diese Applikation verringert werden.
+ F&uuml;r ein anderes STORK QAALevel muss folgendes XML Element mit einem Wert zwischen 1 und 4 angegeben werden: <tt>&lt;stork:QualityAuthenticationAssuranceLevel&gt;</tt>.
+ <br />
+ Die zus&auml;tzlichen Attribute werden im Element <tt>&lt;storkp:RequestedAttributes&gt;</tt> gekapselt. Ein entsprechener Konfigurationseintrag k&ouml;nnte folgenderma&szligen aussehen:
+<pre>
+&lt;storkp:RequestedAttributes&gt;
+ &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/age" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/&gt;
+ &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/eMail" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/&gt;
+ &lt;stork:RequestedAttribute Name="http://www.stork.gov.eu/1.0/isAgeOver" isRequired="false" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"&gt;
+ &lt;stork:AttributeValue&gt;1&lt;/stork:AttributeValue&gt;
+ &lt;/stork:RequestedAttribute&gt;
+&lt;/storkp:RequestedAttributes&gt;
+</pre>
+ Bei der Inkludierung von <tt>&lt;stork:RequestedAttribute&gt;</tt> Elementen sind folgende XML Attribute anzugeben:
+ <ul>
+ <li><tt>Name</tt>: Der Name des entsprechenden STORK Attributes.
+ <br />
+ </li>
+ <li><tt>isRequired</tt>: Gibt durch <tt>true</tt> oder <tt>false</tt> an, ob das angefragte Attribut f&uuml;r die Applikation verpflichtend oder nur optional ben&ouml;tigt wird.
+ <br />
+ </li>
+ <li><tt>NameFormat</tt>: Gibt das Format des Attributes an und MUSS den Wert <tt>urn:oasis:names:tc:SAML:2.0:attrname-format:uri</tt> beinhalten.
+ <br />
+ </li>
+ <li>Element <tt>&lt;stork:AttributeValue&gt;</tt>: Dieses Element ist optional und gibt einen Vergleichswert f&uuml;r ein abzufragendes Attribut an. Im Beispiel von <tt>isAgeOver</tt> wird in der Antwort retourniert, ob die authentifizierte Person &auml;lter als das geforderte angegebene Alter ist.
+ <br />
+ </li>
+ </ul>
+ Details zu den STORK Attributen k&ouml;nnen im <a href="../MOA_ID_1.5.2_Anhang.pdf" target="_new">Anhang zur MOA-ID Spezifikation</a> bzw. in der <a href="https://www.eid-stork.eu/index.php?option=com_processes&Itemid=&act=streamDocument&did=1880" target="_blank">STORK Spezifikation</a> gefunden werden.
+ Im Wesentlichen kann die folgende Menge an Attributen bzw. Teile daraus f&uuml;r eine Online Applikation angefragt werden:
+ <ul>
+ <li><tt>http://www.stork.gov.eu/1.0/inheritedFamilyName</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/adoptedFamilyName</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/gender</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/countryCodeOfBirth</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/nationalityCode</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/maritalStatus</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/textResidenceAddress</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/canonicalResidenceAddress</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/eMail</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/title</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/residencePermit</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/pseudonym</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/age</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/citizenQAALevel</tt>
+ <br />
+ </li>
+ <li><tt>http://www.stork.gov.eu/1.0/isAgeOver</tt>
+ <br />
+ </li>
+ </p>
+ </ul>
+ </div>
<div id="OnlineApplication/ProxyComponent" />
<p id="block"> <b>OnlineApplication/ProxyComponent</b>
<br />
diff --git a/id/server/doc/moa_id/moa.htm b/id/server/doc/moa_id/moa.htm
index 09fb1c5b6..3284e19cc 100644
--- a/id/server/doc/moa_id/moa.htm
+++ b/id/server/doc/moa_id/moa.htm
@@ -230,6 +230,7 @@ an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weiterge
<div id="block">
<p>Ab der MOA Release 1.4.7 ist es m&ouml;glich, dass sich auch ausl&auml;ndische B&uuml;rger mittels MOA-ID einloggen k&ouml;nnen. Hierzu wird eine Verbindung zu einem sogenannten Stammzahlenregister-Gateway aufgebaut, dass basierend auf den Zertifikatsdaten des ausl&auml;ndischen B&uuml;rgers eine Eintragung im Erg&auml;nzungsregister f&uuml;r nat&uuml;rliche Personen gem&auml;&szlig; E-Government Gesetz &sect;6(5) vornimmt. Somit ist es m&ouml;glich, dass eine Personenbindung ausgestellt werden kann, die in weitere Folge an MOA-ID weitergeleitet wird. </p>
<p>Der Zugang zu diesem Stammzahlenregister-Gateway ist &uuml;ber eine Client-Server Authentifizierung abgesichert. Als Client-Zertifikate werden Zertifikate der Firmen A-Trust bzw. A-CERT, die mit der Verwaltungs- oder Dienstleistereigenschaft versehen sind, akzeptiert. </p>
+ <p>Ab MOA Release 1.5.2 ist es auch m&ouml;glich, ausl&auml;ndische B&uuml;rger &uuml;ber <a href="http://eid-stork.eu/" target="_new">STORK</a> zu authentifizieren. Da auch f&uuml;r diese Art der Authentifizierung eine Kommunikation mit dem Stammzahlenregister-Gateway notwendig ist, gelten die zuvor angef&uuml;hrten Ausf&uuml;hrungen auch f&uuml;r STORK.</p>
</div>
<div id="subtitel">Online-Vollmachten</div>