-Das Modul Identifikation stellt Online-Applikationen Funktionalität zur Verfügung zu stellen, damit diese
-eine Benutzer-Identifikation und -Authentisierung mit Hilfe der Bürgerkarte und deren Signaturfunktion
-realisieren können.
-
-Das Modul besteht aus zwei Komponenten:
-
-- Die Authentisierungskomponente (MOA-ID-AUTH) führt die eigentliche Authentisierung des Benutzers durch und übergibt der
-Proxykomponente die Anmeldedaten.
-- Die Proxykomponente (MOA-ID-PROXY) übernimmt die Anmeldedaten von der Authentisierungskomponente,
-führt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation
-und Daten an den Benutzer durch.
-
-Diese beiden Komponenten können auf unterschiedlichen Rechnern
-oder auf dem gleichen Rechner eingesetzt werden.
-
-Die Funktionalität und der Aufbau der Schnittstelle zu MOA-ID ist in der
-
Spezifikation Version 1.2 detailliert beschrieben.
-
-
-Für den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich.
-
-
-
-
-
-1 |
-Der Benutzer verbindet sich zu einem Web-Portal, über das die verfügbaren Online-Applikationen (OA) erreichbar
-sind. Jeder Link zu einer OA verweist auf die Authentisierungs-komponente.
- |
-
-
-
-2 |
-Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des
-Benutzers durchführt: |
-
-
-
-2.1 |
-MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verfügbaren Bürgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an. |
-
-
-
-2.2 |
-MOA-ID-AUTH erzeugt eine HTML-Seite mit einem <InfoboxReadRequest>
- zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt. |
-
-
-
-2.3 |
-Der Browser schickt den <InfoboxReadRequest> an den ausgewählten Security-Layer. Der Security-Layer liest die
-Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch
-einen Aufruf von MOA-SP überprüft.
- |
-
-
-
-2.4 |
-MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enthält
-
-- Vor- und Nachname aus der Personenbindung,
-- URL von MOA-ID-AUTH,
-- URL und Geschäftsbereich der Online-Applikation,
-- die aktuelle Zeit.
-
-Anschließend wird
-eine XML Antwortseite, die das Kommando zum Signieren (<CreateXMLSignatureRequest>) des generierten
-AUTH-Blocks enthält, an den ausgewählten Security-Layer gesendet. |
-
-
-
-2.5 |
-Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an
-MOA-ID-AUTH zurückgesendet. |
-
-
-
-2.6 |
-MOA-ID-AUTH überprüft den signierten AUTH-Block und legt für den Benutzer die Anmeldedaten
-an. Die Anmeldedaten enthalten
-
-- die bereichsspezifische Personenkennzeichen (bPK),
-- den signierten AUTH-Block (optional),
-- die Personenbindung (optional),
-- die PersonData-Struktur aus der Personenbindung (optional),
-- die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte,
-- Informationen zur Behörde, falls die Signatur mit einem Behördenzertifikat erzeugt wurde.
-
- |
-
-
-
-2.7 |
-Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite
-zum Browser gesendet. |
-
-
-
-3 |
-Der Browser führt das Redirect zur Proxykomponente durch. Als Parameter wird das von MOA-ID-AUTH
-erzeugte SAML-Artifact übergeben. |
-
-
-
-4 |
-Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten
-von MOA-ID-AUTH zu erhal-ten. Danach werden die Anmeldedaten in MOA-ID-AUTH gelöscht. |
-
-
-
-5 |
-MOA-ID-PROXY liest die Konfigurationsdatei der zugehörigen Online-Applikation, die beschreibt, wie die Anmeldedaten
-an die nachfolgende Applikation übergeben werden müssen, und meldet den Benutzer bei der Applikation an. |
-
-
-
-6 |
-Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA
-an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet. |
-
-
-
-
-
-
-