MOA ID-Anwendung

- - -

- Module für Online-Applikationen -

- -

-Projekt moa -

-
- - - - - - - -

MOA-ID

- Übersicht

- Aufruf MOA-ID-AUTH

- Abfrage MOA-ID-AUTH

-
-

- Zurück

-

-

-Abfragearten: -
-Web Service
-MOA-ID-PROXY
-

Abfrage der Anmeldedaten von MOA-ID-AUTH

Nach erfolgter Authentisierung stehen in MOA-ID-AUTH Anmeldedaten zum Abholen bereit, -und MOA-ID-AUTH veranlasst einen Redirect zur Online-Applikation (OA). -

-In diesem Redirect werden der Geschäftsbereich und ein SAML-Artifact als Parameter übergeben. -

<a href="https://<oa-url>
-?Target=<geschäftsbereich>
-&SAMLArtifact=<saml-artifact>">

- - - - - -

<oa-url>	URL, der beim Aufruf von MOA-ID-AUTH als Parameter "OA" übergeben wurde
Target=<geschäftsbereich>	Parameter, der beim Aufruf von MOA-ID-AUTH übergeben wurde
SAMLArtifact=<saml-artifact>	SAML-Artifact, das von MOA-ID-AUTH zu den Anmeldedaten erstellt wurde. -Mithilfe dieses SAML-Artifacts kann die OA die Anmeldedaten von MOA-ID-AUTH abholen.

-

-

Grundsätzlich stehen einer OA mehrere Arten zum Abholen der Anmeldedaten von MOA-ID-AUTH zur Verfügung:

Die Applikation ruft selbst das MOA-ID-AUTH Web Service auf. -
Die Implementierung dieser Variante wird empfohlen, insbesondere für Online-Applikationen, die neu erstellt werden. -
Es wird die MOA-ID-PROXY Webapplikation eingesetzt, um die Anmeldedaten abzuholen und an die OA zu übergeben. -
Aus Sicht von MOA-ID-PROXY ist bedeutsam, ob die OA die Anmeldedaten nach Abarbeitung des HTTP-Requests behält. -
- Stateful OA: MOA-ID-PROXY übergibt einmalig die Anmeldedaten an die OA, und die OA speichert die Anmeldedaten, typischerweise unter Einsatz von Cookies.
- Stateless OA: MOA-ID-PROXY übergibt die Anmeldedaten bei jedem HTTP-Request vom Browser des Bürgers an die OA.
-Diese Variante ist vorzuziehen, wenn -
- für die Plattform, auf der die OA aufbaut, Web Service-Schnittstellen nicht verfügbar sind
- das nötige Web Service-Know How nicht zur Verfügung steht
- die Implementierung von Variante 1 zu aufwändig wäre
- eine Anpassung der OA aus bestimmten Gründen nicht möglich ist
-

- - - -

-

-

Aufruf des MOA-ID-AUTH Web Service

Das MOA-ID-AUTH Web Service wird über einen <samlp:Request> aufgerufen. -Der <samlp:Request> enthält in einem <samlp:AssertionArtifact> das von MOA-ID-AUTH übergebene SAML-Artifact. -

-MOA-ID-AUTH liefert als Antwort einen <samlp:Response>. Die Anmeldedaten sind im <samlp:Response> in Form einer <saml:Assertion> enthalten. -

-SAML 1.0 Protocol Schema -
-SAML 1.0 Assertion Schema -
-Der detaillierte Aufbau der <saml:Assertion> zu den Anmeldedaten ist in der Spezifikation MOA-ID 1.3 beschrieben. -

-

Beispiel LoginServletExample

-Das Abholen der Anmeldedaten durch Aufruf des Web Service von MOA-ID-AUTH wird anhand eines beispielhaften Java Servlet gezeigt. -Das LoginServletExample wird in einer Stateful OA von MOA-ID-AUTH nach erfolgter Authentisierung über Redirect aufgerufen. -

-Das Beispiel demonstriert insgesamt die Integration von MOA-ID-AUTH in die OA: -

Parameterübergabe von MOA-ID-AUTH an die OA
Aufruf des MOA-ID-AUTH Web Service mittels des SOAP Frameworks "Apache AXIS"
Parsen der Anmeldedaten mittels der XPath Engine "Jaxen"
Speichern der Anmeldedaten in der HTTPSession
Redirect auf die eigentliche Startseite der OA

- - -Voraussetzungen
-

Die folgende Liste enthält die für das Beispiel erforderlichen Java-Bibliotheken. Die angeführten Versionsnummern bezeichnen jene Versionen dieser Java-Bibliotheken, mit denen das Beispiel getestet wurde.

-
- - - - - - - - - - - - - - - - - - - - - - - - -

Java-Bibliothek	Version	Bemerkung
JDK	1.3 bzw. 1.4.1, 1.4.2	Java Development Kit
Xerces XML Parser	2.0.2+	nicht nötig wenn JDK 1.4 oder höher verwendet wird - Download: xml.apache.org/xerces2-j
AXIS SOAP Framework	1.0+	Download: xml.apache.org/axis
Jaxen XPath Engine	1.0+	Download: http://jaxen.sourceforge.net
JSSE	1.0.3+	wenn eine SSL Verbindung verwendet wird, nicht nötig ab JDK 1.4 Download: java.sun.com/products/jsse
Servlet API	2.3+	Download: java.sun.com/products/servlet

-
-Code
-LoginServletExample - -

- -

- - - -

- - -

-

-

Einsatz von MOA-ID-PROXY zum Abfragen der Anmeldedaten von MOA-ID-AUTH

-Anstatt den Aufruf des MOA-ID-AUTH Web Service in der OA zu implementieren, kann die MOA-ID-PROXY Webapplikation eingesetzt werden, um dies für die OA zu erledigen. MOA-ID-PROXY muss für die OA konfiguriert werden, so wie in MOA-ID-Administration beschrieben. -

-Bei der Konfiguration ist speziell zu beachten: -

-Konfigurationsdatei zur OA
-Der LoginType (stateful oder stateless) ist gemäß dem Applikationstyp zu setzen. -

-Die Übergabe der Anmeldedaten ist in Form und Inhalt zu konfigurieren. -

BasicAuth: HTTP Basic Authentication (Beispiel)
ParamAuth: Übergabe über Requestparameter (Beispiel)
HeaderAuth: Übergabe über Requestheader (Beispiel)

- -

-LoginParameterResolver
-Das Übergabe der Anmeldedaten an die OA über Request Parameter oder Header geschieht in einer Standardimplementierung des Interface -

at.gv.egovernment.moa.proxy.LoginParameterResolver

-Falls die Erfordernisse der OA mittels Konfiguration nicht abgedeckt werden können, -so kann eine maßgeschneiderte Implementierung von LoginParameterResolver erstellt und zusammen mit MOA-ID-PROXY zum Einsatz gebracht werden -(siehe API). -

-ConnectionBuilder -Das Herstellen einer URL-Verbindung von MOA-ID-PROXY zur OA geschieht einer Standardimplementierung des Interface -

at.gv.egovernment.moa.proxy.ConnectionBuilder

-Falls nötig, kann eine maßgeschneiderte Implementierung von ConnectionBuilder erstellt und zusammen mit MOA-ID-PROXY zum Einsatz gebracht werden -(siehe API). -

- - - - - -

-
- - -

- - -- cgit v1.2.3