From e80bee764aa587ceff3db421c7f68c8fd4e2f406 Mon Sep 17 00:00:00 2001 From: kstranacher Date: Fri, 7 Oct 2011 08:41:08 +0000 Subject: MOA-ID: Update Dokumentation git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@1218 d688527b-c9ab-4aba-bd8d-4036d912da1d --- id/server/doc/MOA-ID-Configuration-1.5.0.xsd | 665 --------------------- id/server/doc/MOA-ID-Configuration-1.5.1.xsd | 651 ++++++++++++++++++++ .../SampleMOAIDVerifyInfoboxesConfiguration.xml | 176 +++--- .../moa_id/examples/TransformsInfoAuthBlock.txt | 35 -- .../examples/TransformsInfoAuthBlockTable_DE.xml | 161 +++++ .../moa_id/examples/conf/MOA-ID-Configuration.xml | 65 +- id/server/doc/moa_id/examples/moa-id-env.sh.txt | 2 +- id/server/doc/moa_id/id-admin_1.htm | 2 +- id/server/doc/moa_id/id-admin_2.htm | 44 +- id/server/doc/moa_id/id-anwendung_1.htm | 19 +- 10 files changed, 962 insertions(+), 858 deletions(-) delete mode 100644 id/server/doc/MOA-ID-Configuration-1.5.0.xsd create mode 100644 id/server/doc/MOA-ID-Configuration-1.5.1.xsd delete mode 100644 id/server/doc/moa_id/examples/TransformsInfoAuthBlock.txt create mode 100644 id/server/doc/moa_id/examples/TransformsInfoAuthBlockTable_DE.xml diff --git a/id/server/doc/MOA-ID-Configuration-1.5.0.xsd b/id/server/doc/MOA-ID-Configuration-1.5.0.xsd deleted file mode 100644 index 19b793fdb..000000000 --- a/id/server/doc/MOA-ID-Configuration-1.5.0.xsd +++ /dev/null @@ -1,665 +0,0 @@ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enthält Parameter der Authentisierungs-Komponente - - - - - enthält Konfigurationsparameter der Proxy-Komponente - - - - - - enthält Parameter für die Kommunikation zw. Proxykomponente und Authenttisierungskomponente - - - - - - enthält Parameter für die SOAP-Verbindung von der Proxy-Komponente zur Auth-Komponente (vgl. AuthComponent/MOA-SP/ConnectionParameter) - - - - - - - - - - - enthält Parameter für die OA - - - - - - - - - - - - - - - - - - - - - - - spezifiziert den Algorithmus ("pkix" oder "chaining") für die Zertifikatspfadvalidierung - - - - - - ein vom SystemDefaultMode abweichender ChiningMode kann für jeden TrustAnchor gesetzt werden - - - - - - - - - - - - - - - - verweist auf ein Verzeichnis, das vertrauenswürdige CA (Zwischen-CA, Wurzel-CA) Zertifikate enthält. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enthält Parameter für die Kommunikation mit dem Security-Layer - - - - - - - - - - enthält Konfiguratiosnparameter für die Kommunikation mit dem MOA SP Modul - - - - - - enthält Parameter für die SOAP-Verbindung von der AUTH-Komponente zu MOA-SP; das Attribut URL enthält den Endpunkt des Server; wird das Schema "https" verwendet müssen die Kind-Elemente angegeben werden; wird das Schema "http" verwendet dürfen keine Kind-Elemente angegeben werden; wird das Element nicht verwendet dann wird MOA-SP über das API aufgerufen - - - - - enthält Parameter für die Überprüfung der Personenbindung - - - - - - - - - - enthält Parameter für die Überprüfung des AUTH-Blocks - - - - - - - - - - - - - - enthält Informationen über akzeptierte Signers des IdentityLinks - - - - - - akzeptierte Signer des IdentityLinks werden per X509SubjectName (Kodierung nach RFC 2253) identifiziert - - - - - - - - enthält Defaultparameter für die Überprüfung weiterer Infoboxen - - - - - - - - Verbindungsparameter zum SZR-Gateway (GetIdentityLink) - - - - - - - - - - - Verbindungsparameter zum Online-Vollmachten-Service - - - - - - - - - - das Attribut filename verweist auf eine Datei mit globalem Element TransformsInfo vom Typ sl10:TransformsInfo; diese TransformsInfo werden in den CreateXMLSignatureRequest für die Signatur des AUTH-Blocks inkludiert - - - - - - - - - - - - - - - - - - - - - - - - - - - - das Attribut URL spezifiziert die Lage des Templates - - - - - - Verifikation zusätzlicher Infoboxen - - - - - Optionales DefaultTrustprofil für die Überprüfung aller weiteren Infoboxen - - - - - - - - - - Parameter für Überprüfung weiterer Infoboxen - - - - - - - Parameter zur Überprüfung einzelner Infoboxen - - - - - optionalervName, der für Fehlermeldungen verwendet werden soll; z.B.: "Stellvertretungen" für "Mandates"; fehlt dieser Parameter, dann wird das Identifier-Attribut verwendet - - - - - TrustProfil, das für die Überprüfung der Infobox verwendet werden soll - - - - - Validatorklasse, die für die Prüfung der Infobox verwendet werden soll; muss gesetzt werden, wenn Package- und Klassenname vom Default Package- und Klassennamen abweichen - - - - - - Infobox spezifische Parameter, die der jeweiligen Prüfapplikation übergeben werden - - - - - - - - - - Infobox spezifische Parameter, die der Prüfapplikation für berufliche Parteienvertretung übergeben werden. Dies ist logisch Teil der ApplicationSpecificParameters, kann jedoch aufgrund der Strukturierung validierend geparst werden und dadurch wird eine funktionierende Konfiguration bei Programmstart garantiert. - - - - - - Falls Infoboxinhalte für die berufliche Parteienvertretung in der Vollmachten Infobox "mandates" abgelegt werden und Vertretung für berufliche Parteienvertreter aktiviert ist, so kann mit diesem Schalter die Vollmachtsprüfung für normale Vollmachten deaktiviert werden. Damit wird erreicht, dass mittels der Vollmachten Infobox ausschließlich berufliche Parteienvertretung aktiviert ist. Dieser Schalter ist nur für die Vollmachten Infobox "mandates" relevant. - - - - - Eigentlicher Konfigurationsteil für berufliche Parteienvertretung - - - - - - - - - - - - - - Spezifiziert die Lage von XML Schemas - - - - - - - - - - - - - - - - enthält Parameter über die OA, die die Authentisierungs-Komponente betreffen - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - enthält Parameter über die OA, die die Proxy-Komponente betreffen - - - - - - enthält Parameter über die OA, die die Proxy-Komponente betreffen - - - - - - - - - - - - - - - - - - URL zu einem Verzeichnis, das akzeptierte Server-Zertifikate der TLS-Verbindung enthält (keine CA-Zertifikate) - - - - - - - - - - - - URL zu einem KeyStore, der den privaten Schlüssel, der für die TLS-Client-Authentisierung verwendet wird, enthält - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Soll nicht nur bei leerer oder standardisierter Vollmacht mit unvollständigen Daten, sondern beispielsweise zu Kontrollzwecken das Eingabeformular immer angezeigt werden, wenn ein Einschreiten durch berufliche Parteienvertretung geschieht so kann dies mittels dieses Schalters veranlasst werden - - - - - - - - - - - Das Attribut spezifiziert die Lage des Templates, welches der InputProcessor zur Darstellung des Eingabeformulars nutzen soll - - - - - - - - - - Default InputProcessor. Konfiguration eines vom Standardprozess abweichenden Verarbeitungsvorgangs bei der beruflichen Parteienvertretung. Der Wert dieses Elements ist der vollständige Klassenname des InputProzessors - - - - - Default Wert für Formularanzeige. Soll nicht nur bei leerer oder standardisierter Vollmacht mit unvollständigen Daten, sondern beispielsweise zu Kontrollzwecken das Eingabeformular zur vervollständigung der Vertretenendaten immer angezeigt werden, wenn ein Einschreiten durch berufliche Parteienvertretung geschieht so kann dies mittels dieses Schalters veranlasst werden - - - - - Default Verbindungsparameter zum SZR-Gateway (für den EGIZ-Demonstrator im internen Netzwerk: https://129.27.142.5:8443/szr-gateway/services/MandateCreation) - - - - - Falls keine speziellen beruflichen ParteienvertreterInnen definiert sind (Element kommt nicht vor), werden ausschließlich standardisierte Vollmachten mit einer MandateID="*" akzeptiert - - - - - - - - - Konfiguration eines vom Standardprozess abweichenden Verarbeitungsvorgangs bei der beruflichen Parteienvertretung. Der Wert dieses Elements ist der vollständige Klassenname des InputProzessors - - - - - - Optionale Verbindungsparameter zu speziellem (SZR-)Gateway - - - - - - OID der Parteienvertretung lt. "Object Identifier der öffentlichen Verwaltung" - Konvention, Empfehlung. Diese ID muss mit der MandateID der übermittelten standardisierten Vollmacht übereinstimmen. Eine Parteienvertretung für standardisierte Vollmachten mit der MandateID "*" muss nicht definiert werden und erlaubt eine allgemeine berufliche Parteienvertretung mit Standardtexten. In anderen Fällen ist eine erlaubte OID mitttels dieses Attributs zu definieren - - - - - - Legt fest, ob berufliche Parteienvertretung für natürliche Personen erlaubt ist - - - - - - - - Legt fest, ob berufliche Parteienvertretung für juristische Personen erlaubt ist (welche z.B. ein Organwalter nicht vertreten darf und dieser Wert aus diesem Grund dort false sein muss) - - - - - - - - Beschreibender Text, der an Stelle des Standardtexts bei der Signatur der Anmeldedaten im Falle einer vorliegenden beruflichen Parteienvertretung zur Signatur vorgelegt wird - - - - - diff --git a/id/server/doc/MOA-ID-Configuration-1.5.1.xsd b/id/server/doc/MOA-ID-Configuration-1.5.1.xsd new file mode 100644 index 000000000..f8c38bdd3 --- /dev/null +++ b/id/server/doc/MOA-ID-Configuration-1.5.1.xsd @@ -0,0 +1,651 @@ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + enthält Parameter der Authentisierungs-Komponente + + + + + enthält Konfigurationsparameter der Proxy-Komponente + + + + + + enthält Parameter für die Kommunikation zw. Proxykomponente und Authenttisierungskomponente + + + + + + enthält Parameter für die SOAP-Verbindung von der Proxy-Komponente zur Auth-Komponente (vgl. AuthComponent/MOA-SP/ConnectionParameter) + + + + + + + + + + + enthält Parameter für die OA + + + + + + + + + + + + + + + + + + + + + + + spezifiziert den Algorithmus ("pkix" oder "chaining") für die Zertifikatspfadvalidierung + + + + + + ein vom SystemDefaultMode abweichender ChiningMode kann für jeden TrustAnchor gesetzt werden + + + + + + + + + + + + + + + + verweist auf ein Verzeichnis, das vertrauenswürdige CA (Zwischen-CA, Wurzel-CA) Zertifikate enthält. + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + enthält Parameter für die Kommunikation mit dem Security-Layer + + + + + + + + + + enthält Konfiguratiosnparameter für die Kommunikation mit dem MOA SP Modul + + + + + + enthält Parameter für die SOAP-Verbindung von der AUTH-Komponente zu MOA-SP; das Attribut URL enthält den Endpunkt des Server; wird das Schema "https" verwendet müssen die Kind-Elemente angegeben werden; wird das Schema "http" verwendet dürfen keine Kind-Elemente angegeben werden; wird das Element nicht verwendet dann wird MOA-SP über das API aufgerufen + + + + + enthält Parameter für die Überprüfung der Personenbindung + + + + + + + + + + enthält Parameter für die Überprüfung des AUTH-Blocks + + + + + + + + + + + + + + enthält Informationen über akzeptierte Signers des IdentityLinks + + + + + + akzeptierte Signer des IdentityLinks werden per X509SubjectName (Kodierung nach RFC 2253) identifiziert + + + + + + + + enthält Defaultparameter für die Überprüfung weiterer Infoboxen + + + + + + + + Verbindungsparameter zum SZR-Gateway (GetIdentityLink) + + + + + + + + + + + Verbindungsparameter zum Online-Vollmachten-Service + + + + + + + + + + das Attribut filename verweist auf eine Datei mit globalem Element TransformsInfo vom Typ sl10:TransformsInfo; diese TransformsInfo werden in den CreateXMLSignatureRequest für die Signatur des AUTH-Blocks inkludiert + + + + + + + + + + + + + das Attribut URL spezifiziert die Lage des Templates + + + + + + Verifikation zusätzlicher Infoboxen + + + + + Optionales DefaultTrustprofil für die Überprüfung aller weiteren Infoboxen + + + + + + + + + + Parameter für Überprüfung weiterer Infoboxen + + + + + + + Parameter zur Überprüfung einzelner Infoboxen + + + + + optionalervName, der für Fehlermeldungen verwendet werden soll; z.B.: "Stellvertretungen" für "Mandates"; fehlt dieser Parameter, dann wird das Identifier-Attribut verwendet + + + + + TrustProfil, das für die Überprüfung der Infobox verwendet werden soll + + + + + Validatorklasse, die für die Prüfung der Infobox verwendet werden soll; muss gesetzt werden, wenn Package- und Klassenname vom Default Package- und Klassennamen abweichen + + + + + + Infobox spezifische Parameter, die der jeweiligen Prüfapplikation übergeben werden + + + + + + + + + + Infobox spezifische Parameter, die der Prüfapplikation für berufliche Parteienvertretung übergeben werden. Dies ist logisch Teil der ApplicationSpecificParameters, kann jedoch aufgrund der Strukturierung validierend geparst werden und dadurch wird eine funktionierende Konfiguration bei Programmstart garantiert. + + + + + + Falls Infoboxinhalte für die berufliche Parteienvertretung in der Vollmachten Infobox "mandates" abgelegt werden und Vertretung für berufliche Parteienvertreter aktiviert ist, so kann mit diesem Schalter die Vollmachtsprüfung für normale Vollmachten deaktiviert werden. Damit wird erreicht, dass mittels der Vollmachten Infobox ausschließlich berufliche Parteienvertretung aktiviert ist. Dieser Schalter ist nur für die Vollmachten Infobox "mandates" relevant. + + + + + Eigentlicher Konfigurationsteil für berufliche Parteienvertretung + + + + + + + + + + + + + + Spezifiziert die Lage von XML Schemas + + + + + + + + + + + + + + + + enthält Parameter über die OA, die die Authentisierungs-Komponente betreffen + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + enthält Parameter über die OA, die die Proxy-Komponente betreffen + + + + + + enthält Parameter über die OA, die die Proxy-Komponente betreffen + + + + + + + + + + + + + + + + + + URL zu einem Verzeichnis, das akzeptierte Server-Zertifikate der TLS-Verbindung enthält (keine CA-Zertifikate) + + + + + + + + + + + + URL zu einem KeyStore, der den privaten Schlüssel, der für die TLS-Client-Authentisierung verwendet wird, enthält + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + Soll nicht nur bei leerer oder standardisierter Vollmacht mit unvollständigen Daten, sondern beispielsweise zu Kontrollzwecken das Eingabeformular immer angezeigt werden, wenn ein Einschreiten durch berufliche Parteienvertretung geschieht so kann dies mittels dieses Schalters veranlasst werden + + + + + + + + + + + Das Attribut spezifiziert die Lage des Templates, welches der InputProcessor zur Darstellung des Eingabeformulars nutzen soll + + + + + + + + + + Default InputProcessor. Konfiguration eines vom Standardprozess abweichenden Verarbeitungsvorgangs bei der beruflichen Parteienvertretung. Der Wert dieses Elements ist der vollständige Klassenname des InputProzessors + + + + + Default Wert für Formularanzeige. Soll nicht nur bei leerer oder standardisierter Vollmacht mit unvollständigen Daten, sondern beispielsweise zu Kontrollzwecken das Eingabeformular zur vervollständigung der Vertretenendaten immer angezeigt werden, wenn ein Einschreiten durch berufliche Parteienvertretung geschieht so kann dies mittels dieses Schalters veranlasst werden + + + + + Default Verbindungsparameter zum SZR-Gateway (für den EGIZ-Demonstrator im internen Netzwerk: https://129.27.142.5:8443/szr-gateway/services/MandateCreation) + + + + + Falls keine speziellen beruflichen ParteienvertreterInnen definiert sind (Element kommt nicht vor), werden ausschließlich standardisierte Vollmachten mit einer MandateID="*" akzeptiert + + + + + + + + + Konfiguration eines vom Standardprozess abweichenden Verarbeitungsvorgangs bei der beruflichen Parteienvertretung. Der Wert dieses Elements ist der vollständige Klassenname des InputProzessors + + + + + + Optionale Verbindungsparameter zu speziellem (SZR-)Gateway + + + + + + OID der Parteienvertretung lt. "Object Identifier der öffentlichen Verwaltung" - Konvention, Empfehlung. Diese ID muss mit der MandateID der übermittelten standardisierten Vollmacht übereinstimmen. Eine Parteienvertretung für standardisierte Vollmachten mit der MandateID "*" muss nicht definiert werden und erlaubt eine allgemeine berufliche Parteienvertretung mit Standardtexten. In anderen Fällen ist eine erlaubte OID mitttels dieses Attributs zu definieren + + + + + + Legt fest, ob berufliche Parteienvertretung für natürliche Personen erlaubt ist + + + + + + + + Legt fest, ob berufliche Parteienvertretung für juristische Personen erlaubt ist (welche z.B. ein Organwalter nicht vertreten darf und dieser Wert aus diesem Grund dort false sein muss) + + + + + + + + Beschreibender Text, der an Stelle des Standardtexts bei der Signatur der Anmeldedaten im Falle einer vorliegenden beruflichen Parteienvertretung zur Signatur vorgelegt wird + + + + + diff --git a/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml b/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml index 5c814b834..f31730a06 100644 --- a/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml +++ b/id/server/doc/moa_id/examples/SampleMOAIDVerifyInfoboxesConfiguration.xml @@ -2,80 +2,81 @@ - - - - - - - Globale Templates zum Anpassen der Seiten "Auswahl der Bürgerkartenumgebung" und - "Anmeldung mit Bürgerkarte"<--> - - - - + + + - + Wenn MOA-SP direkt ueber API aufgerufen werden soll, so wird das Element auskommentiert --> - MOAIDBuergerkartePersonenbindung - + MOAIDBuergerkarteAuthentisierungsDaten - MOAIDTransformAuthBlockText - Auskommentieren, falls die in der Beispiel-Onlineapplikation definierte Transformationverwendet wird:<--> - + + MOAIDTransformAuthBlockTable_DE + - - - - - CN=zmr,OU=BMI-IV-2,O=BMI,C=AT - - T=Dr.,CN=Nikolaus Schwab,O=BM f. Inneres i.A. des gf. Mitgieds der Datenschutzkommission - - T=Dr.,CN=Nikolaus Schwab,O=BM f. Inneres i.A. des gf. Mitglieds der Datenschutzkommission - - - GlobalVIDefaultTrust - - - - Beispiel Infobox B - GlobalInfoboxBTrust - - - - - - content1 - content2 - - content3a - content3b - - - - + + GlobalVIDefaultTrust + + + + Beispiel Infobox B + GlobalInfoboxBTrust + + + + + + content1 + content2 + + content3a + content3b + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + - @@ -83,26 +84,26 @@ - - LocalOA1DefaultTrust - - - - Demo Infobox B - oa1.validate.InfoboxBValidator - - - - - - - - Demo Infobox C - LocalInfoboxOA1CTrust - - - - + + LocalOA1DefaultTrust + + + + Demo Infobox B + oa1.validate.InfoboxBValidator + + + + + + + + Demo Infobox C + LocalInfoboxOA1CTrust + + + + @@ -110,28 +111,25 @@ - - - LocalInfoboxOA2ATrust - - - - + + + LocalInfoboxOA2ATrust + + + + - + - - certs/ca-certs - @@ -139,9 +137,13 @@ - - + + + + https://www.handy-signatur.at/mobile/https-security-layer-request/default.aspx + https://www.a-trust.at/mobile/https-security-layer-request/default.aspx + diff --git a/id/server/doc/moa_id/examples/TransformsInfoAuthBlock.txt b/id/server/doc/moa_id/examples/TransformsInfoAuthBlock.txt deleted file mode 100644 index edbde0073..000000000 --- a/id/server/doc/moa_id/examples/TransformsInfoAuthBlock.txt +++ /dev/null @@ -1,35 +0,0 @@ - - - - - - - - - Signatur der Anmeldedaten - - -

Signatur der Anmeldedaten

-

-

Mit meiner elektronischen Signatur beantrage ich, , -geboren am -.., den Zugang zur gesicherten Anwendung.

-

-

Datum und Uhrzeit: .., ::

- -

wbPK(*):

-

-
- (*) wbPK: Das Wirtschaftsbereichsspezifische Personenkennzeichen wird aus den jeweiligen Stammzahlen des Buergers und des Wirtschaftsunternehmens berechnet und ermoeglicht eine eindeutige Zuordnung des Buergers zum Wirtschaftsunternehmen. -
- - -
-
-
- -
- - text/html - -
diff --git a/id/server/doc/moa_id/examples/TransformsInfoAuthBlockTable_DE.xml b/id/server/doc/moa_id/examples/TransformsInfoAuthBlockTable_DE.xml new file mode 100644 index 000000000..4ec0f94ae --- /dev/null +++ b/id/server/doc/moa_id/examples/TransformsInfoAuthBlockTable_DE.xml @@ -0,0 +1,161 @@ + + + + + + + + + Signatur der Anmeldedaten + + + +

Anmeldedaten:

+

Daten zur Person

+ + + + + + + + + + + + + + + + + + + + + + + + + +
Name: + +
Geburtsdatum: + + . + + . + +
Rolle: + +
Vollmacht: + Ich melde mich in Vertretung an. Im nächsten Schritt wird mir eine Liste der für mich verfügbaren Vertretungsverhältnisse angezeigt, aus denen ich eines auswählen werde. +
+

Daten zur Anwendung

+ + + + + + + + + +
Name: + +
Staat:Österreich
+

Technische Parameter

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
URL: + +
Bereich: + +
+ Vollmachten-Referenz: + +
+ : + +
Identifikator: + + +
OID: + +
HPI: + +
Datum: + + . + + . + +
Uhrzeit: + + : + + : + +
+ + +
+
+
+ +
+ + application/xhtml+xml + +
diff --git a/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml b/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml index ae106f24a..2cdc61653 100644 --- a/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml +++ b/id/server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml @@ -2,46 +2,58 @@ - - - - - - - + - - + + + - + Wenn MOA-SP direkt ueber API aufgerufen werden soll, so wird das Element auskommentiert --> + - MOAIDBuergerkartePersonenbindung - + MOAIDBuergerkarteAuthentisierungsDaten - MOAIDTransformAuthBlockText + + MOAIDTransformAuthBlockTable_DE + - - - - - CN=zmr,OU=BMI-IV-2,O=BMI,C=AT - - T=Dr.,CN=Nikolaus Schwab,O=BM f. Inneres i.A. des gf. Mitgieds der Datenschutzkommission - - T=Dr.,CN=Nikolaus Schwab,O=BM f. Inneres i.A. des gf. Mitglieds der Datenschutzkommission - + + + + + + + + + + + + + + + + + + + + + + + + + + @@ -98,4 +110,9 @@ + + + https://www.handy-signatur.at/mobile/https-security-layer-request/default.aspx + https://www.a-trust.at/mobile/https-security-layer-request/default.aspx + diff --git a/id/server/doc/moa_id/examples/moa-id-env.sh.txt b/id/server/doc/moa_id/examples/moa-id-env.sh.txt index 1ccca10c1..466b2762e 100644 --- a/id/server/doc/moa_id/examples/moa-id-env.sh.txt +++ b/id/server/doc/moa_id/examples/moa-id-env.sh.txt @@ -1,5 +1,5 @@ rem insert Tomcat 4.1.x home directory (no trailing path separator) -set CATALINA_HOME= +set CATALINA_HOME= CONFIG_OPT_SPSS=-Dmoa.spss.server.configuration=$CATALINA_HOME/conf/moa-spss/SampleMOASPSSConfiguration.xml CONFIG_OPT_ID=-Dmoa.id.configuration=$CATALINA_HOME/conf/moa-id/SampleMOAIDConfiguration.xml diff --git a/id/server/doc/moa_id/id-admin_1.htm b/id/server/doc/moa_id/id-admin_1.htm index 2b3ade1ed..9b18fcdbe 100644 --- a/id/server/doc/moa_id/id-admin_1.htm +++ b/id/server/doc/moa_id/id-admin_1.htm @@ -354,7 +354,7 @@ Um MOA-ID-PROXY in Tomcat für den Ablauf vorzubereiten, sind folgende Schri Diese Java System-Properties werden Tomcat über die Umgebungsvariable - CATALINA_OPTS mitgeteilt (siehe Deployment von MOA-ID-AUTH). + CATALINA_OPTS mitgeteilt (siehe Deployment von MOA-ID-AUTH moa-id-env.sh.txt).

Beispiel-Skripts zum Setzen von CATALINA_OPTS und zum Starten diff --git a/id/server/doc/moa_id/id-admin_2.htm b/id/server/doc/moa_id/id-admin_2.htm index 647bd616e..12f71808d 100644 --- a/id/server/doc/moa_id/id-admin_2.htm +++ b/id/server/doc/moa_id/id-admin_2.htm @@ -124,7 +124,7 @@ Projekt moa 

Konfiguration von MOA ID v.1.5

Die Konfiguration von MOA ID wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema - MOA-ID-Configuration-1.5.0.xsd entspricht, durchgeführt. + MOA-ID-Configuration-1.5.1.xsd entspricht, durchgeführt.

Der Ort der Konfigurationsdatei wird im Abschnitt Deployment der Web-Applikation in Tomcat beschrieben.

Enthält die Konfigurationsdatei relative Pfadangaben, werden @@ -227,32 +227,22 @@ Projekt moa  herangezogen, wenn in der Konfigurationsdatei weder globale (für alle Online-Applikationen gültig) noch lokale (Templates je Online-Applikation) spezifiziert sind. Hinweis: Die Template zur Anmeldung mit Online-Vollmachten können nicht über die URL angegeben werden.
- Das Templates-Element hat die drei Kindelemente - BKUSelectionTemplate, Templateund OnlineMandates. Jedes dieser - drei Elemente kann genau einmal vorkommen oder fehlen. + Das Templates-Element hat die zwei Kindelemente + BKUSelectionTemplateund Template. Jedes dieser + zwei Elemente kann genau einmal vorkommen oder fehlen. Das Kindelement BKUSelectionTemplate spezifiziert ein Template zur Gestaltung der Seite "Auswahl der Bürgerkartenumgebung", während das Kindelement Template die Seite "Anmeldung mit Bürgerkarte" referenziert. Dies beiden Elemente haben genau ein Attribut namens URL, das die Lage des Templates im Form einer URL beschreibt. Relative Pfadangaben werden dabei relativ zum Verzeichnis, in dem sich die - MOA-ID Konfigurationsdatei befindet, interpretiert. Bei Templates die über das Protokoll https referenziert werden, muss vor dem Start des Tomcat ein Truststore angegeben werden, das die notwendigen vertrauenswürdigen Zertifikate enthält. Siehe dazu die Parameter in den vorbereiteten Startdateien startTomcat.bat und tomcat-start.sh.Das Kindeelement OnlineMandates referenziert Templates zur Gestaltung der Seite Online-Vollmachten Anmeldung. Hier kann BKU spezifisch ein MOA-ID Template (das beispielsweise Größenparameter für die verwendete BKU enthält) und ein Template zur Gestaltung der Seite für die Anmeldung mit Online-Vollmacht angegeben werden. Innerhalb dieses Templates wird in einem iFrame das angegebene MOA-ID Template aufgerufen. Für BKU URLs, die nicht konfiguriert sind wird dein Standard-Template verwendet. Im folgenden Beispiel werden drei Templates im Verzeichnis - CATALINA_HOME/conf/moa-id/templates referenziert:
-

-<Templates>
-  <BKUSelectionTemplate URL="templates/SampleBKUSelectionTemplate.html"/>
-  <Template URL="templates/SampleTemplate.html"/>
-  <OnlineMandates>
<BKU URL="https://www.handy-signatur.at/mobile/https-security-layer-request/default.aspx">
<MOA-ID-Template URL="sampleTemplates/handy_moa-id_template.html"/>
<MandateTemplate URL="sampleTemplates/handy_mandate_template.html"/>
</BKU>
<BKU URL="https://localhost:3496/https-security-layer-request">
<MOA-ID-Template URL="sampleTemplates/local_moa-id_template.html"/>
<MandateTemplate URL="sampleTemplates/local_mandate_template.html"/>
</BKU>
<BKU URL="https://[yourserver]/bkuonline/https-security-layer-request">
<MOA-ID-Template URL="sampleTemplates/online_moa-id_template.html"/>
<MandateTemplate URL="sampleTemplates/online_mandate_template.html"/>
</BKU>
</OnlineMandates> -</Templates>
- -
+ MOA-ID Konfigurationsdatei befindet, interpretiert. Bei Templates die über das Protokoll https referenziert werden, muss vor dem Start des Tomcat ein Truststore angegeben werden, das die notwendigen vertrauenswürdigen Zertifikate enthält. Siehe dazu die Parameter in den vorbereiteten Startdateien startTomcat.bat und tomcat-start.sh.
Richtlinien zur Struktur der Templates können der MOA-ID-Spezifikation bzw. dem Abschnitt Aufruf von MOA-ID-AUTH dieses Handbuches entnommen werden.

-

AuthComponent/SecurityLayer
Das Element SecurityLayer enthält Parameter @@ -272,7 +262,7 @@ Projekt moa  relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser Datei muss UTF-8 sein.

- Beispiel für + Beispiel für eine TransformsInfo-Datei

AuthComponent/MOA-SP
@@ -621,9 +611,9 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt verwendet werden, um das Signatorzertifikat in die Anmeldedaten aufzunehmen. Alle Attribute sind optional und haben den Default-Wert - false. -
- Anmerkung: Das Attribut provideStammzahl steht in keinem + false.
+ Das Attribut provideFullMandatorData bestimmt ob bei einer Vollmachten-Anmeldung die vollständigen Vollmacht in der SAML Assertion mitgegeben wird oder nur die Basisdaten wie Name, Geburtsdatum und bPK des Vertreters (bzw. Organwalter/PV) sowie Name, Geburtsdatum und bPK (bzw. Name und Stammzahl bei juristischen Personen) des Vertretenen in der Assertion übermittelt. Bei provideFullMandatorData=false werden nur die Basisdaten übermittelt (Defaulteinstellung). Bei provideFullMandatorData=true wird zusätzlich die gesamte Vollmacht übergeben.

+

Anmerkung: Das Attribut provideStammzahl steht in keinem Zusammenhang zum gleichnamigen Attribut VerifyInfoboxes/@provideStammzahl, das angibt ob die Stammzahl an eine Prüfapplikation weitergegeben @@ -632,11 +622,11 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt Zusammenhang zum gleichnamigen Attribut VerifyInfoboxes/@provideIdentityLink, das angibt ob die Personenbindung an eine Prüfapplikation - weitergegeben werden soll. -
-
-

-
+ weitergegeben werden soll. +
+
+

+

OnlineApplication/AuthComponent/IdentificationNumber
Das wirtschaftsbereichsspezifische Personenkennzeichen (wbPK) @@ -717,7 +707,7 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt Dieses Kindelement kann genau einmal vorkommen und entspricht in seiner Struktur dem Element AuthComponent/Templates. Es kann verwendet werden, um Templates zur Gestaltung der Seiten - "Auswahl der Bürgerkartenumgebung", "Anmeldung mit Bürgerkarte" sowie "Anmeldung mit Online-Vollmacht" individuell für + "Auswahl der Bürgerkartenumgebung" und "Anmeldung mit Bürgerkarte" individuell für eine Online-Applikation zu definieren. Die hier definierten Templates haben Priorität gegenüber globalen Templates und Templates, die in der aufrufenden URL übergeben werden. @@ -944,7 +934,7 @@ Hinweis: Um den Online-Vollmachten Modus für eine Online Applikation zu akt
Das optionale Attribut configFileURL verweist auf eine Konfigurationsdatei die dem Schema - MOA-ID-Configuration-1.4.xsd + MOA-ID-Configuration-1.5.1.xsd entspricht mit Dokument-Element Configuration. Die Angabe erfolgt relativ zur verwendeten MOA-ID Konfigurationsdatei. Beispiel für das Element @@ -1211,7 +1201,7 @@ Der Name der Konfigurationsdatei wird in der Konfiguration von MOA-ID als Wert d wobei <realURLPrefix> dem Konfigurationswert OnlineApplication/ProxyComponent/ConnectionParameter/@URL entspricht.

Die Konfigurationsdatei ist eine XML-Datei, die dem Schema -MOA-ID-Configuration-1.4.xsd mit dem Wurzelelement +MOA-ID-Configuration-1.5.1.xsd mit dem Wurzelelement Configuration entspricht.

diff --git a/id/server/doc/moa_id/id-anwendung_1.htm b/id/server/doc/moa_id/id-anwendung_1.htm index 25c1d8674..28f7a5979 100644 --- a/id/server/doc/moa_id/id-anwendung_1.htm +++ b/id/server/doc/moa_id/id-anwendung_1.htm @@ -177,25 +177,8 @@ und es können zusätzliche Elemente darin aufgenommen werden.
Auch dabei ist die vorgegebene Grundstruktur einzuhalten, die speziellen Tags <StartAuth> und <BKUSelect> sind verpflichtend.

-

Templates für Online-Vollmachten

- Die Gestaltung der Seite für die Anmeldung mit Online-Vollmachten kann über zwei Templates angespasst werden.

-

Das Template für die Seite "Anmeldung mit Online-Vollmacht" von MOA-ID-AUTH kann aus folgender Grundstruktur aufgebaut werden:

+

Wichtiger Hinweis: wenn die Templates über HTTPS geladen werden sollten, so muss das SSL/TLS Zertifikat des Servers in einem Java Truststore gespeichert werden und dieser beim Start von Tomcat angegeben werden.

-
-<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<title>Vollmachten-Anmeldung</title>
<script language="javascript">
function fillFrame() {
var f = top.frames['mandate'];
with (f.document) {
open();
<Mandate>
close();
}
}
</script>
</head>
<body onLoad="fillFrame(); return false;">
<h2>Vollmachten-Anmeldung Template</h2>
<iframe name="mandate" src="" frameborder="0" width="250" height="400" scrolling="no"></iframe>
</body>
</html>
- -

Innerhalb des Dokuments können Texte, Beschriftungen und Styles modifiziert werden, - und es können zusätzliche Elemente darin aufgenommen werden.
-
- Auch dabei ist die vorgegebene Grundstruktur einzuhalten, das spezielle Tags <Mandate> ist verpflichtend. - - Weiters ist verpflichtend ist der JavaScript Code, der Aufruf der fillFrame Funktion im body und das name Attribut des iframes.

-
-

Weiters muss ein MOA-ID Template angegeben werden, das den Anforderungen des Templatefür die Anmeldeseite von MOA-ID-AUTH genügen muss (siehe oben). Zusätzlich zu beachten ist, dass im Header dieser MOA-ID Templates für die lokale BKU der Codeteil -

<base target="_parent">
- vorkommt. Fehlt dieser Teil so wird die Online-Applikation im iFrame des Template für die Seite "Anmeldung mit Online-Vollmacht" geöffnet (was im Allgemeinen nicht erwünscht ist).

-

Beispiele für diese MOA-ID Templates und die Templates für die Seite "Anmeldung mit Online-Vollmacht" sind in den Default-Konfigurationen vorhanden.

-

Wichtiger Hinweis: wenn die Templates über HTTPS geladen werden sollten, so muss das SSL/TLS Zertifikat des Servers in einem Java Truststore gespeichert werden und dieser beim Start von Tomcat angegeben werden.

Vorgeschlagene Vorgehensweise:
-- 
cgit v1.2.3