From 127c8ce186f6a33de6ae14f0d3a451e093f4d5a1 Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Thu, 27 Mar 2014 15:57:37 +0100 Subject: Handbook update STORK --- id/server/doc/handbook/config/config.html | 316 +++++++++++++++++++++--------- 1 file changed, 225 insertions(+), 91 deletions(-) diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index f614be075..fe9d5d6fa 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -79,7 +79,7 @@
  • Konfiguration des Loggings
  • -
  • STORK Konfiguration
  • +
  • Konfiguration des SamlEngines
  • Konfiguration MOA-ID-Auth @@ -123,6 +123,7 @@
  • SAML 1
  • PVP 2.1
  • OpenID Connect
  • +
  • VIDP Konfiguration
  • Zusätzliche allgemeine Einstellungen @@ -150,7 +151,7 @@
  • Tomcat Security Manager
    1. -
    2. Referenzierte Spezifikation
    3. +
    4. Referenzierte Spezifikation

    1 Übersicht

    @@ -884,7 +885,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet Weitere Informationen zur Konfiguration des Loggings erhalten Sie in Abschnitt 2.1.3 des Installationshandbuchs.

    2.4 Konfiguration des SamlEngines

    -

    Für die Untestützung des STORK2 Protokols verwendet MOA-ID eine zusätzliche Bibliothek, die über gesonderte Dateien konfiguriert wird. Diese Dateien sind unter einem Verzeichnis gespeichert, das üblicherweise sich unter dem MOA-ID-Auth Konfigurationsverzeichnis findet. Der Name der System Property lautet eu.stork.samlengine.config.location; als Wert der System Property ist das Verzeichnis anzugeben, wo die entsprechende SamlEngine Konfigurationsdateien gespeichert werden, z.B.

    +

    Für die Untestützung des STORK2 Protokols verwendet MOA-ID eine zusätzliche Bibliothek, die über gesonderte Dateien konfiguriert wird. Diese Dateien sind unter einem Verzeichnis gespeichert, das sich üblicherweise im MOA-ID-Auth Konfigurationsverzeichnis befindet. Der Name der System Property lautet eu.stork.samlengine.config.location; als Wert der System Property ist das Verzeichnis anzugeben, wo die entsprechende SamlEngine Konfigurationsdateien gespeichert werden, z.B.

    eu.stork.samlengine.config.location=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-id/conf/moa-id/stork

    Dieses Verzeichnis muss mindenstens folgende Dateien enthälten:

    @@ -894,7 +895,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet - + @@ -905,8 +906,7 @@ https://<host>:<port>/moa-id-auth/MonitoringServlet
    SamlEngine.xmlDie Hauptdatei, wo die Konfigurationen von verschiedenen Instanzen des SamlEngines angegeben werden.Die Hauptdatei, in welcher die Konfigurationen von verschiedenen Instanzen des SamlEngines angegeben werden.
    StorkSamlEngine_XXX.xml

    -

    In oben stehender Tabelle die Bezeichnung mit XXX gibt die Name einer spezifischen Instanz des SamlEngines an. -In der Hauptskonfiguration Datein (SamlEngine.xml) angegeben werden alle unterstütze Instanzen des SamlEngines, die für verschiedene Anmeldungsszenarien angewandt werden. Die Beispielkonfiguration dieser Datei sieht wie folgendes: +

    In der Hauptskonfiguration Datein (SamlEngine.xml) verweist auf alle Konfigurationsdateien für sie SamlEngine, welche für unterschiedliche Anwendungsszenarien verwendet werden können. Die Beispielkonfiguration dieser Datei sieht wie folgendes:

     <?xml version="1.0" encoding="UTF-8"?>
    @@ -928,7 +928,8 @@ In der Hauptskonfiguration Datein (SamlEngine.xml) ang
             </instance>
     </instances>
     
    -

    In oberem Beispiel ist nur eine Instanz definiert, VIDP, deren spezifischen Parametern in zwei Konfigurationsdateien weiter angeführt werden.

    In konkretem Fall, die Datei StorkSamlEngine_VIDP.xml enthält TORK-spezifische Parametern, die normalerweise nicht geändert werden sollte.

    In der zweite Datei, SignModule_VIDP.xml, definiert werden die Konfigurationsparametern für Trust- und Keystore der Instanz von SamlEngine. Die Beispielkonfiguration dieser Datei sieht wie folgendes:

    +

    In diesem Beispiel ist nur eine Instanz VIDP definiert deren spezifischen Parametern in zwei Konfigurationsdateien aufgeteilt werden.

    +

    Die Datei StorkSamlEngine_VIDP.xml enthält STORK-spezifische Parametern, die im Normalbetrieb nicht geändert werden müssen. Die zweite Datei, SignModule_VIDP.xml, definiert den von der SamlEngine verwendeten Trust- und Keystore. Die Beispielkonfiguration dieser Datei sieht wie folgendes:

     <?xml version="1.0" encoding="UTF-8"?>
     <!DOCTYPE properties SYSTEM "http://java.sun.com/dtd/properties.dtd">
    @@ -943,8 +944,7 @@ In der Hauptskonfiguration Datein (SamlEngine.xml) ang
             <entry key="keystoreType">JKS</entry>
     </properties>
     
    -

    Diese Parameter sollen bei der Installation angepasst werden, um die Zugriff an Keystore und die Schlüssel zu ermöglichen. Die einzelne Parametern sind in foldenter Tabelle erklärt:

    -

    +

    Diese Parameter müssen bei der Installation angepasst werden, um die Zugriff an Keystore und die Schlüssel zu ermöglichen. Die einzelne Parametern sind in foldenter Tabelle erklärt:

    @@ -974,9 +974,7 @@ In der Hauptskonfiguration Datein (SamlEngine.xml) ang
    Name BeschreibungTyp und Format des Keystores. JKS steht für Java Key Store.
    -

    -

    -

    3 Konfiguration MOA-ID-Auth

    +

    3 Konfiguration MOA-ID-Auth

    Dieses Abschnitt beschreibt die Konfiguration des Modules MOA-ID-Auth mithilfe der durch das Modul MOA-ID-Configuration zur Verfügung gestellten Web-Oberfläche. Hierzu muss das Konfigurationstool (Module MOA-ID-Konfiguration) bereits installiert und konfiguriert sein (siehe Kapitel 2.1). Nach erfolgreichem Login am Konfigurationstool kann das Modul MOA-ID-Auth über die Web-Oberfläche konfiguriert werden.

    Die Konfiguration von MOA-ID-Auth ist in zwei Teilbereiche unterteilet. Diese behandeln die Allgemeine Konfiguration der MOA-ID-Auth Instanz und die Konfiguration von Online-Applikationen (Service Providern) welche dieser MOA-ID-Auth Instanz zugeordnet sind.

    3.1 @@ -1242,7 +1240,137 @@ Checking Die Name des unterstützte Attributtes. Die als zwingend markierte Attributtes müssen im Response von dem gegenstehendem PEPS enthälten werden. Jedes Attribut wird gesondert eingetragen.
    Die Liste von vorhandenen und unterstützen Attributes ist in Konfigurationsdatei von SamlEngine (StorkSamlEngine_XXX.xml) vorhanden. -

    +

     

    +

    Folgende PEPS URLs stehen aktuell zur Verfügung:

    + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
    LändercodeTestInstanzURL
    AT Xhttps://testvidp.buergerkarte.at/moa-id-auth/stork2/SendPEPSAuthnRequest
    EE Xhttps://testpeps.sk.ee/PEPS/ColleagueRequest
    EE Xhttps://peps.sk.ee/PEPS/ColleagueRequest
    ES  https://prespanishpeps.redsara.es/PEPS/ColleagueRequest
    IS Xhttps://storktest.advania.is/PEPS/ColleagueRequest
    IS  https://peps.island.is/PEPS/ColleagueRequest
    LT Xhttps://testpeps.eid.lt/PEPS/ColleagueRequest
    PTXhttps://eu-id.teste.cartaodecidadao.gov.pt/PEPS/ColleagueRequest
    SIXhttps://peps-test.mju.gov.si/PEPS/ColleagueRequest
    +

     

    +

    Folgende Attribute müssen jedoch mindestens angefordert werden, wobei die erforderlichen Attribute je nach Anmeldeart unterschiedlich sind. Eine Liste mit weiteren möglichen Attribute finden Sie im Kapitel Protokolle oder in der STORK Spezifikation.

    + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
    Namenatürliche PersonAnmeldung in VertretunglBeschreibung
    eIdentifierXXEindeutiger Identifier der Person für die die Anmeldung erfolgt.

    givenName

    XXVorname der Person für die die Anmeldung erfolgt.

    surname


    + X
    X

    Familienname der Person für die die Anmeldung erfolgt.

    dateOfBirthXXGeburtsdatum der Person für die die Anmeldung erfolgt.
    genderXXGeschlecht der Person für die die Anmeldung erfolgt.
    signedDocXXEin Dokument welches durch die Person, für die die Anmeldung erfolgt, signiert wurde.
    fiscalNumberXXEin eindeutiger nationaler Identifier der Person.
    canonicalResidenceAddress XAddresse der Person für welche die Anmeldung erfolgt
    mandateContent XElektronische Vollmacht, welche die Vertretungsverhältnisse widerspiegelt.
    representative XNatürliche Person welche eine juristische oder natürliche Person im Rahmen einer Anmeldung mittels Vollmacht vertritt.
    represented XJuristische oder natürliche Person welche im Rahmen einer Anmeldung mittels Vollmacht vertreten wird.

    3.1.9 Protokolle

    Hierbei handelt es ich um allgemeine Einstellungen zu den vom Modul MOA-ID-Auth unterstützen Authentifizierungsprotokollen.

    @@ -1385,6 +1513,13 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der   Definiert ob die Online-Applikation dem öffentlichen Bereich oder dem privatwirtschaftlichen Bereich (Business Service) zugeordnet ist. Ja nach Bereich sind unterschiedliche Konfigurationsparameter erforderlich. + + STORK Applikation +   + X + X + Definiert ob die Applikation eine STORK VIDP Applikation ist. Detailinformationen hierzu finden Sie im Kapitel STORK. +

    3.2.1.1 Öffentlicher Bereich

    Wurde die Online-Applikation einem öffentlichen Bereich zugeordnet muss in weiterer Folge der zugeordnete Bereich definiert werden. Hierfür stehen folgende Parameter zur Verfügung.

    @@ -1590,101 +1725,31 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der STORK verwenden ja -   + X Definiert ob die Online-Applikation eine Anmeldung mittels STORK unterstützt. Wird STORK unterstützt wird in während der BKU-Auswahl die Option Home Country Selection für eine Anmeldung mittels STORK dargestellt.

    QAA-Level

    4 -   + X Von der Online-Applikation geforderter mindest QAA-Level der Authentifizierung aktivierte Zielländer   -   + X

    Hier können jene STORK Länder konfiguriert werden für welche diese Online-Applikation eine Anmeldung mittels STORK unterstützt.

    -

    Hinweis: Die zur Auswahl stehenden Länder werden aus den PEPS Konfigurationen generiert, welche im allgemeinen Konfigurationsbereich hinterlegt wurden.

    +

    Hinweis: Die zur Auswahl stehenden Länder werden aus den PEPS Konfigurationen generiert, welche im allgemeinen Konfigurationsbereich hinterlegt wurden.

    angeforderte Attribute

      -   - X -

    STORK Attribute welche die Online-Applikation anfordert

    -

    Bei den Attributen kann jedoch nur aus dem Set der in der allgemeinen Konfiguration hinterlegten STORK Attributen (siehe Kapitel 3.1.8) gewählt werden, wobei Attribute die in der allgemeinen Konfiguration als zwingend markiert sind immer mitgeliefert werden.

    -

    Bei den Attributen kann jedoch nur aus dem Set der in der allgemeinen Konfiguration hinterlegten STORK Attributen (siehe Kapitel 3.1.9) gewählt werden, wobei Attribute die in der allgemeinen Konfiguration als „Verpflichtend“ markiert sind immer mitgeliefert werden.

    - - -

    Stork Applikation

    - ja -   -

    Stellt fest, ob dies eine STORK Applikation ist.

    - - -

    Landesvorwahl

    - ES -   -

    Der landspezifischen Kode - der Staat von Service Provider. Wird für die Ableitung des STORK-eIdentifiers verwendet.

    - - -

    VIDP Interface aktiv

    - ja -   -

    Stellt fest, ob das VIDP Interface aktiviert wird.

    - - -

    Zustimmung für das Ausliefern der Attribute

    - ja -   -

    Stellt fest, ob die Zustimmung für das Ausliefern der Attribute vom Benutzer erforderlich ist. Diese Zustimmung ist für grenzübergreifenden Datenverkehr aufgrund Datenschützbestimmungen oft notwendig.

    + X +

    STORK Attribute welche die Online-Applikation anfordert

    +

    Bei den Attributen kann jedoch nur aus dem Set der in der allgemeinen Konfiguration hinterlegten STORK Attributen (siehe Kapitel 3.1.8) gewählt werden, wobei Attribute die in der allgemeinen Konfiguration als zwingend markiert sind immer mitgeliefert werden.

     

    -

    In diesem Abschnitt werden zusätzliche Attributsproviders eingetragen, sowohl als von dem gelieferte und unterstützte Attribute.
    Die Attributproviders werden für die Abholung von einigen Attributen von österreichischen Bürger notwendig (Anmeldung in Ausland). Die Eintragung und Auswahl von Attributproviders ist optional. -

    Im Lauf von einem Anmeldevorgang wird der Benutzer an entsprechende Attributtprovider weitergeleitet, wo die notwendige Attribute ausgewählt und zurück an VIDP (am ServiceProvider) geliefert werden.

    -
    - - - - - - - - - - - - - - - - - - - - - - -
    Name des PluginsBeschreibung
    EHvdAttributeProviderFür Gesundheitsbereich spezifisches Attributprovider.
    SignedDocAttributeRequestProviderAttributprovider verwendet für die Signatur von Dokumenten (Signature Service).
    MISAttributeRequestProviderAttributprovider verwendet für die Vertretungsfälle.
    StorkAttributeRequestProviderAllgemeines Plugin, wird verwendet für die Restfälle.
    -

     

    -

    Beispiel eines Eintrages für Attributprovider:

    -
    -
    -  
    -    
    -    
    -    
    -  
    -  
    -    
    -    
    -    
    -  
    -
    AP PluginURLAttribute
    MISAttributeRequestProviderhttp://mis.testvidp.at/moa-id-auth/stork2/MISProvidermandateContent,attribut1,attribut2
    -
    - -

    Hinweis: Werden für die Online-Applikation eigene Templates für die Bürgerkartenauswahl oder die zusätzliche Anmeldeabfrage im SSO Fall (siehe Abschnitt 3.2.2) verwendet, stehen alle Konfgurationsparameter die Einfluss auf die BKU-Auswahl haben nicht zur Verfügung.

    3.2.6 Authentifizierungsprotokolle

    Dieser Abschnitt behandelt online-applikationsspezifische Einstellungen zu den von der Online-Applikation unterstützen Authentifizierungsprotokollen. Eine Verwendung aller zur Verfügung stehender Authentifizierungsprotokolle durch die Online-Applikation ist ebenfalls möglich. Hierfür müssen nur alle benötigten Protokolle konfiguriert werden. Nähere Informationen zu den unterstützten Protokollen finden sie im Kapitel Protokolle.

    @@ -1785,7 +1850,6 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der Zertifikat mit dem die Metadaten der Online-Applikation signiert sind. Dieses wird benötigt um die Metadaten zu verifizieren. -

     

    3.2.6.3 OpenID Connect

    In diesem Bereich erfolgt die applikationsspezifische Konfiguration für OpenID Connect (OAuth 2.0).

    @@ -1818,6 +1882,76 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der
    OpenID Connect Redirect URL. Nach erfolgreicher Authentifizierung wird die BenutzerIn oder der Benutzer an diese URL zurückgeleitet.
    +

    3.2.6.4 VIDP Konfiguration

    +

    Dieser Abschnitt dient zur Konfiguration des VIDP Modus des Modules MOA-ID-Auth. Die Konfiguration der nachfolgenden Parameter ist somit nur nötig wenn die MOA-ID-Auth Instanz als STORK2 VIDP betrieben werden soll.

    + + + + + + + + + + + + + + + + + + + + + + + + + +
    NameBeispielwertOptionalBeschreibung

    VIDP Interface aktiv

     X

    Stellt fest, ob das VIDP Interface aktiviert wird.

    Landesvorwahl

    ESX

    Ländercode in dem der Service Provider zugeordnet werden kann. Wird für die Ableitung des STORK-eIdentifiers verwendet.

    Zustimmung für das Ausliefern der Attribute

     X

    Stellt fest, ob die Zustimmung für das Ausliefern der Attribute vom Benutzer erforderlich ist. Diese Zustimmung ist für grenzübergreifenden Datenverkehr aufgrund Datenschützbestimmungen oft notwendig.

    +

     

    +

    Außerdem können zusätzliche Attributsproviders eingetragen werden. +Diese Attributprovider werden für die Abholung einiger Attributen von österreichischen Bürger benötigt (Anmeldung in Ausland). Die Eintragung und Auswahl von Attributprovidern ist optional.

    +

    Während des Anmeldevorgangs wird der Benutzer an den entsprechenden Attributtprovider weitergeleitet. Am Attributprovider werden die erforderlichen Attribute ausgewählt und zurück an VIDP (am ServiceProvider) geliefert.

    +
    + + + + + + + + + + + + + + + + + + + + + + +
    Name des PluginsBeschreibung
    EHvdAttributeProviderFür Gesundheitsbereich spezifisches Attributprovider.
    SignedDocAttributeRequestProviderAttributprovider verwendet für die Signatur von Dokumenten (Signature Service).
    MISAttributeRequestProviderAttributprovider verwendet für die Vertretungsfälle.
    StorkAttributeRequestProviderAllgemeines Plugin, wird verwendet für die Restfälle.
    +

     

    +

    Beispiel eines Eintrages für Attributprovider:

    +
    
    +  
    +    
    +    
    +    
    +  
    +  
    +    
    +    
    +    
    +  
    +
    AP PluginURLAttribute
    MISAttributeRequestProviderhttp://mis.testvidp.at/moa-id-auth/stork2/MISProvidermandateContent,attribut1,attribut2

     

    3.2.7 Zusätzliche allgemeine Einstellungen

    In Abschnitt ermöglicht eine erweiterte online-applikationsspezifische Individualisierung des AuthBlocks und der Bürgerkartenauswahl. -- cgit v1.2.3