From d0ea99676485e559445df05e937bf899a50308bc Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Tue, 5 Mar 2019 09:06:52 +0100 Subject: fix attribute escaping problem in IdentityLinkAssertionParser and move the escaping into SL1.0 AuthBlock builder and validator this fix can be deactivated by property: 'configuration.bugfix.enable.idl.escaping' to get backward compatibility --- id/server/doc/handbook/config/config.html | 16 +- .../auth/parser/IdentityLinkAssertionParser.java | 4 +- .../auth/data/AuthenticationDataBuilderTest.java | 196 ++++++++++++++++++++- .../moa/id/config/auth/data/DummyAuthConfig.java | 19 +- .../moa/id/auth/AuthenticationServer.java | 5 +- .../moa/id/auth/builder/PersonDataBuilder.java | 1 + .../CreateXMLSignatureResponseValidator.java | 4 +- .../protocols/saml1/SAML1AuthenticationServer.java | 3 +- pom.xml | 2 +- 9 files changed, 235 insertions(+), 15 deletions(-) diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 90227cf9b..4fb57cb3a 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -119,7 +119,7 @@
  • Privatwirtschaftlicher Bereich
  • -
  • Demo-Modus für 'Austrian eID'
  • +
  • Demo-Modus für E-ID
  • BKU Konfiguration
  • Security Layer fr mobile Authententifizierung
  • Test Credentials
  • @@ -437,6 +437,14 @@ UNIX: moa.id.configuration=file:C:/Programme/apache/tomcat-8.x.x/conf/moa-id/moa Hinweis: Hierbei handelt es sich um einen Workaround für Systeme auf denen die Validierung des 'TargetFriendlyName' wegen Problemen mit der Zeichencodierung fehlschlägt, die Signatur des AuthBlocks jedoch gültig ist.
    Defaultwert: true + + configuration.bugfix.enable.idl.escaping + true / false +

    MOA-ID intern wurden einfache Anführungszeichen (') in Vornamen oder Nachnamen bis zur Version 4.3.2 durch ' escapted. Dieses Escaping hatte durch einen Fehler auch Einfluss auf die ausgelieferten Attributen in PVP2 S-Profil, OpenID-Connect, etc. . Dieser Fehler wurde in der Version 4.3.3 behoben.
    + Aus Kompatibilitätsgründen kann das Escaping jedoch mittels Konfigurationsparameter wieder aktiviert werden. +

    +

    Defaultwert: false

    + configuration.monitoring.active true / false @@ -1561,8 +1569,8 @@ Soll die Bürgerkartenauswahl weiterhin, wie in MOA-ID 1.5.1 im Kontext der

     

    -

    3.2.2 Demo-Modus für 'Austrian eID'

    -

    Dieser Abschnitt behandelt den Demo-Modus für die kommende 'Austrian eID' welcher mit der MOA-ID Version 3.4.2 eingeführt wurde. Ist der Demo-Modus aktiviert ändert sich das mögliche Attribut-Set welches Online Applikation zur Verfügung gestellt wird. Als Attributbezeichner in der nachfolgenden Liste werden die Attributebezeichnungen aus dem PVP Attribute-Profil verwendet. Ein Mapping auf OpenID-Connect Scopes oder SAML1 Attribute finden Sie in Kapitel Protokolle. Als weitere Anpassung wird mit hoher Wahrscheinlichkeit die iFrame Integration der Handy-Signatur nicht mehr zur Verfügung stehen und es erfolgt eine vollformat Weiterleitung an den 'Austrian eID'. Diese Anpassung ist in der MOA-ID Version 3.4.2 noch nicht berücksichtig.

    +

    3.2.2 Demo-Modus für E-ID

    +

    Dieser Abschnitt behandelt den Demo-Modus für die kommende E-ID welcher mit der MOA-ID Version 3.4.2 eingeführt wurde. Ist der Demo-Modus aktiviert ändert sich das mögliche Attribut-Set welches Online Applikation zur Verfügung gestellt wird. Als Attributbezeichner in der nachfolgenden Liste werden die Attributebezeichnungen aus dem PVP Attribute-Profil verwendet. Ein Mapping auf OpenID-Connect Scopes oder SAML1 Attribute finden Sie in Kapitel Protokolle. Als weitere Anpassung wird mit hoher Wahrscheinlichkeit die iFrame Integration der Handy-Signatur nicht mehr zur Verfügung stehen und es erfolgt eine vollformat Weiterleitung an den E-ID. Diese Anpassung ist in der MOA-ID Version 3.4.2 noch nicht berücksichtig.

    Folgende Attribute stehen nicht mehr zur Verfügung: