FAQs - Häufig gestellte Fragen

- - -

- Module für Online-Applikationen -

- -

-Projekt moa -

-
- - - - - - -

MOA-ID

- Übersicht

- Basis-Installation

- Konfiguration

- Optionale
Komponenten

-
-

- Zurück

-
-

MOA ID-Administration v.1.1

-Die Komponenten des Moduls Identifikation (MOA-ID), MOA-ID-AUTH und MOA-ID-PROXY, sind als plattformunabhängige Webapplikationen ausgelegt. -MOA-ID-AUTH ist die Basiskomponente des Moduls, und MOA-ID-PROXY ist eine optionale Zusatzkomponente. -Für den Betrieb dieser Webapplikationen wird eine Java Virtual Machine und ein Java Servlet Container vorausgesetzt. -

-Dieses Handbuch beschreibt die Installation und Konfiguration von MOA-ID-AUTH und von MOA-ID-PROXY, und die Einrichtung der Systemumgebungen. -

-
- - - -

- - - -

Übersicht

-Für den Betrieb von MOA-ID-AUTH sind unterschiedliche Szenarien möglich, die unterschiedliche Möglichkeiten bieten und die Installation unterschiedlicher Software- und Hardware-Komponenten erfordern. Dieser Abschnitt gibt einen kurzen Überblick über die notwendige Basis-Installation und optionale weitere Konfigurationsmöglichkeiten. -

-
- -

- - - -

Basis-Installation von MOA-ID-AUTH

-Die Basis-Installation stellt einerseits die minimalen Anforderungen für den Betrieb von MOA-ID-AUTH dar, andererseits dient sie als Ausgangspunkt für weitere (optionale) Konfigurations-Möglichkeiten. -

-Folgende Software ist Voraussetzung für die Basis-Installation: - -

JDK 1.3.1, JDK 1.4.1 oder JDK 1.4.2
Tomcat 4.1.18 oder Tomcat 4.1.27 (*)
MOA-ID-AUTH 1.1
MOA SP/SS 1.1 oder neuer (entweder als WebService oder direkt als interne Bibliothek)

-Um möglichen Versionskonflikten aus dem Weg zu gehen sollten stets die neuesten Versionen von MOA-ID als auch von MOA-SP/SS verwendet werden.
-In diesem Betriebs-Szenario wird MOA-ID-AUTH in Tomcat deployt. Tomcat fungiert gleichzeitig als HTTP- und HTTPS-Endpunkt für MOA-ID-AUTH. Beide Protokolle werden direkt in Tomcat konfiguriert. -

-Die Webapplikation verwendet Log4j als Logging Toolkit. -

-
- -

- - - -

Basis-Installation von MOA-ID-PROXY (optional)

-Einer Online-Applikation, für die MOA-ID-AUTH die Authentisierung übernimmt, kann die Komponente MOA-ID-PROXY vorgeschaltet werden. Diese Komponente übernimmt die Anmeldedaten von MOA-ID-AUTH, führt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation und Daten an den Benutzer durch. - -Die Basis-Installation von MOA-ID-PROXY geschieht im Wesentlichen analog zur Basis-Installation von MOA-ID-AUTH. -

-MOA-ID-AUTH und MOA-ID-PROXY können in verschiedenen Konstellationen zum Einsatz gebracht werden: -

auf verschiedenen Rechnern
auf ein und demselben Rechner in verschiedenen Java Servlet Containern
auf ein und demselben Rechner in ein und demselben Java Servlet Container

-
-Ausgehend von der Basis-Installation können die optionalen Konfigurationen, die in den nachfolgenden Abschnitten beschrieben werden, unabhängig und in beliebiger Kombination aufgesetzt werden. -

-
- -

- - - -

Konfiguration mit vorgeschaltetem Webserver (optional)

-Den MOA ID Webapplikationen kann jeweils optional ein Webserver vorgeschaltet sein. Unter Microsoft Windows ist das im Regelfall der Microsoft Internet Information Server (MS IIS), auf Unix-Systemen kommt üblicherweise der Apache Webserver zum Einsatz. -

- Folgende Software ist unter Windows Voraussetzung: -

MS IIS 5.0
Jakarta mod_jk 1.2.2

Folgende Software ist unter Unix/Linux Voraussetzung:

Apache Webserver 2.0.x mit mod_SSL
Jakarta mod_jk 1.2.2

In diesem Fall übernimmt der vorgeschaltete Webserver die Funktion des HTTP- und HTTPS-Endpunktes. Beide Protokolle werden im Webserver konfiguriert. -

-Mittels mod_jk werden die Webservice-Aufrufe, die im vorgeschalteten Webserver eintreffen, an Tomcat weiter geleitet, bzw. die Antwort von Tomcat wieder an den Webserver zurück übermittelt. -

-
- -

- - - -

- -	- Konfiguration mit PostgreSQL (optional) - -Das MOA ID Webservice kann eine PostgreSQL Datenbank nutzen, um: - - - Log-Meldungen zu speichern - - Für den Zugriff auf PostgreSQL ist die Installation folgender Software Voraussetzung: - - PostgreSQL 7.3 - -

-
- -

- - - -

Zusammenfassung

-Notwendig für den Betrieb von MOA ID ist eine Basis-Installation. Weitere optionale Konfigurationen können unabhängig und in beliebiger Kombination miteinander durchgeführt werden, um eine bessere Integration der MOA ID Webapplikationen in die vorhandene Betriebs-Infrastruktur zu erreichen. -

-

- - - -

- - - -

Referenzierte Software

-Die Versionsangaben beziehen sich auf die Versionen, mit denen die MOA ID Webapplikationen entwickelt und getestet wurde. Geringfügig andere Software-Versionen stellen üblicherweise kein Problem dar. -

-

-

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Komponente	Getestete Version
JDK (SDK)	1.3.1 (min. - 1.3.1_07) bzw. - 1.4.1 bzw. - 1.4.2
Tomcat	- 4.1.18 - bzw. - 4.1.27 - + Patch (*) -
MOA-ID-AUTH	1.1
MOA-ID-PROXY	1.1 -
MOA-SPSS	1.2
Apache Webserver	1.3.23 - bzw. - 2.0.45
Microsoft Internet Information Server -	5.0 -
mod_SSL	(**) -
Jakarta mod_jk	1.2.2 -
Jakarta Log4j	1.2.7 -
PostgreSQL	7.3 -

-
- (*) Aufgrund eines geringfügigen Mangels in Tomcat 4.1.27 - muss eine gepatchte Version von 'tomcat-util.jar' verwendet - werden. Diese gepatchte Version ist in der MOA-ID Distribution - enthalten.
- Details: Tomcat-Bugzilla - Bug id=22701.
-
- -

(**) passend zur Version des Apache Webservers

-

- - - - - -

-
- - -

- \ No newline at end of file diff --git a/id.server/doc/moa_id/id-admin_1.htm b/id.server/doc/moa_id/id-admin_1.htm deleted file mode 100644 index 73d5e3ef9..000000000 --- a/id.server/doc/moa_id/id-admin_1.htm +++ /dev/null @@ -1,517 +0,0 @@ - - - MOA ID-Administration - - - - - - - - - -

- - -

- Module für Online-Applikationen -

- -

-Projekt moa -

-
- - - - - - -

MOA-ID

- Übersicht

- Basis-Installation

- Konfiguration

- Optionale
Komponenten

-
-

- Zurück

-
-

-Installationsschritte: -
-Vorbereitung
-Tomcat Konfiguration
-Deployment
MOA-ID-AUTH
-Deployment
MOA-ID-PROXY
-Tomcat Start/Stop
-Logging
-

Basis-Installation v.1.1

-Bei der Basis-Installation von MOA-ID-AUTH und von MOA-ID-PROXY ist grundsätzlich gleichartig vorzugehen. -Unterschiede sind in der Installationsanweisung angeführt. -

Vorbereitung

Installation des JDK
- Installieren Sie das JDK 1.3.1, JDK 1.4.1 oder JDK 1.4.2 in ein - beliebiges Verzeichnis. Das Wurzelverzeichnis der JDK-Installation - wird im weiteren Verlauf als $JAVA_HOME bezeichnet.
-
- Installation von Tomcat
- Installieren Sie Tomcat in ein Verzeichnis, das keine Leer- und - Sonderzeichen im Pfadnamen enthält. Am Besten verwenden - die referenzierte Version von Tomcat im zip-Format. (Hinweis f. - Windows: nicht die selbstinstallierende exe Version verwenden.) - Das Wurzelverzeichnis der Tomcat-Installation wird im weiteren Verlauf - als $CATALINA_HOME bezeichnet.

Hinweis: Tomcat 4.1.18 wird in einer Distribution für - JDKs ab Version 1.2 und in einer Distribution speziell für - JDK 1.4 ausgeliefert. Installieren Sie die zur Version Ihres JDK - passende Tomcat-Version.

Hinweis: Wenn Sie Tomcat 4.1.27 einsetzen, so müssen - sie $CATALINA_HOME/server/lib/tomcat-util.jar durch die gepatchte - Version welche in der MOA-ID Distribution (*) enthalten ist ersetzen.
-
- Entpacken der MOA ID Webapplikation
- Entpacken Sie die ausgelieferten Dateien der Webapplikation (moa-id-auth-x.y.zip - oder moa-id-proxy-x.y.zip; ersetzen Sie x.y durch die Releasenummer - von MOA-ID-AUTH bzw. MOA-ID-PROXY) in ein beliebiges Verzeichnis. - Diese Verzeichnisse werden im weiteren Verlauf als $MOA_ID_INST_AUTH - bzw. $MOA_ID_INST_PROXY bezeichnet.
-
- Installation der IAIK JCE, des IAIK LDAP Protocol Handlers und - von JSSE (JDK 1.3.1)
- Da Java in der Version 1.3.1 ohne Unterstützung für Kryptographie, - LDAP und SSL ausgeliefert wird, müssen diese Funktionalitäten - nachträglich installiert werden. Es stehen hierfür zwei - Möglichkeiten zur Verfügung:
- 1. Installation innerhalb des JDK 1.3.1:
- Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13) - müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. - Anschließend steht eine Unterstützung für Kryptographie - und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.
- 2. Installation ausschließlich für Applikationen innerhalb - von Tomcat:
- Um die o.g. Unterstützung nur Tomcat-Anwendungen zu ermöglichen, - können die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 - (oder $MOA_ID_INST_PROXY/ext13) in ein beliebiges Verzeichnis kopiert - werden. Im Folgenden wird dieses Verzeichnis $MOA_ID_EXT genannt. - Anschließend muss der Tomcat-Klassenpfad angepasst werden:
- Für Windows-Betriebssysteme ist dafür die Datei $CATALINA_HOME\bin\setclasspath.bat - anzupassen:
- Hinter 'set CLASSPATH=%JAVA_HOME%\lib\tools.jar' müssen - nun jeweils mit Semikolon getrennt, die Dateien aus $MOA_ID_EXT - inklusive der vollständigen Pfadangaben angefügt werden.
- Anschließend sieht diese Zeile beispielsweise folgendermaßen - aus:

-	set CLASSPATH=%JAVA_HOME%\lib\tools.jar;
-		      $MOA_ID_EXT\iaik_jce_full.jar;
-		      $MOA_ID_EXT\iaik_ldap.jar;
-		      $MOA_ID_EXT\jcert.jar;
-		      $MOA_ID_EXT\jnet.jar;
-		      $MOA_ID_EXT\jsse.jar 
-

($MOA_ID_EXT ist durch den tatsächlichen Pfad zu ersetzen)
- Unix/Linux-Anwender verfahren analog mit der Datei $CATALINA_HOME/bin/setclasspath.sh - wobei ';' durch ':' zu ersetzen ist.
-
- Installation der IAIK JCE und des IAIK LDAP Protocol Handlers - (JDK 1.4.1 bzw. JDK 1.4.2)
- Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext14 (oder $MOA_ID_INST_PROXY/ext14) - müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. - Anschließend steht eine Unterstützung für Kryptographie - und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.
-
- Zusätzlich müssen die so genannten Unlimited Strength - Jurisdiction Policy Files 1.4.1 (bzw. 1.4.2) heruntergeladen, entpackt - und ins Verzeichnis $JAVA_HOME/jre/lib/security kopiert werden. -

Der Download für diese Dateien findet sich am unteren Ende - der Download-Seite des jeweiligen JDK 1.4.x in der Sektion "Other - Downloads". D.h. JDK - hier für 1.4.1 bzw. das JDK hier - für 1.4.2.

- -

- - -

-

-

Konfiguration von Tomcat

-Minimale Konfiguration
-Die zentrale Konfigurations-Datei von Tomcat ist $CATALINA_HOME/conf/server.xml. Tomcat wird grundsätzlich mit -einer funktionierenden Default-Konfiguration ausgeliefert, die jedoch einiges an Ballast enthält und viele Ports -offen lässt. Die Datei $MOA_ID_INST_AUTH/tomcat/server.xml (bzw. $MOA_ID_INST_PROXY/tomcat/server.xml) enthält eine minimale -Tomcat-Konfiguration, die je einen Connector für HTTP und für HTTPS freischaltet.

-SSL
-Für den sicheren Betrieb von MOA-ID-AUTH ist die Verwendung von SSL Voraussetzung, sofern nicht ein vorgelagerter WebServer (Apache oder IIS) das SSL-Handling übernimmt. -Ebenso kann SSL auch für MOA-ID-PROXY verwendet werden. -Das Dokument Tomcat SSL Configuration HOW-TO gibt einen guten Überblick über die Konfiguration von SSL in Tomcat. Da die für SSL notwendigen Bibliotheken bereits im Abschnitt "Vorbereitung" eingebunden wurden, sind nur noch folgende Schritte notwendig: -

Erstellung eines Server-Keystores, welches den privaten Schlüssel des Servers sowie das Server-Zertifikat enthält, -z.B. mit dem Java Keytool.
-Hinweis: Standardmäßig wird beim Erzeugen eines neuen Keystores im Home-Verzeichnis des Benutzers die Datei ".keystore" angelegt. Möchte man den Dateinamen und Pfad ändern, kann man das dem SSL-Connector in $CATALINA_HOME/conf/server.xml durch hinzufügen des Attributes keystoreFile="NAME DES KEYSTORES" im Element <Factory> bekannt machen. Das zum Keystore gehörende Passwort übergibt man Tomcat mittels des Attributes keystorePass= "PASSWORT DES KEYSTORES" im Element <Factory>.
Erstellung eines Keystores mit vertrauenswürdigen Client-Zertifikaten, z.B. mit dem Java Keytool (nur, wenn SSL Client-Authentisierung verwendet werden soll)
Falls eine Client-Authentisierung gewünscht ist, muss die Konfiguration des SSL-Connectors in $CATALINA_HOME/conf/server.xml angepasst werden.

- -

-MOA Administrator
-Der Aufruf der URL für die dynamische Konfiguration von MOA-ID-AUTH ist durch eine Passwort-Abfrage geschützt, und kann nur von Benutzern aufgerufen werden, die der Benutzer-Rolle moa-admin zugeordnet werden können.
-Um diese Benutzer-Rolle und einen oder mehrere Benutzer einzurichten, müssen in der Datei $CATALINA_HOME/conf/tomcat-users.xml unter dem Element <tomcat-users> sinngemäß folgende Einträge hinzugefügt werden: -

-<role rolename="moa-admin"/>
-<user username="moa" password="moa" roles="moa-admin"/>
-

- -

- - -

-

-

Deployment von MOA-ID-AUTH in Tomcat

-Um MOA-ID-AUTH in Tomcat für den Ablauf vorzubereiten, sind folgende Schritte notwendig:
-

Die Datei $MOA_ID_INST_AUTH/moa-id-auth.war wird ins Verzeichnis - $CATALINA_HOME/webapps kopiert. Dort wird sie beim ersten Start - von Tomcat automatisch ins Verzeichnis $CATALINA_HOME/webapps/moa-id-auth - entpackt.
Die MOA-ID Konfigurationsdatei und die zugehörigen Verzeichnisse - "certs" und "transforms" werden in ein beliebiges Verzeichnis - im Filesystem kopiert (z.B. $CATALINA_HOME/conf/moa-id).
- In $MOA_ID_INST_AUTH/conf/moa-id befindet sich eine funktionsfähige - Konfiguration, die als Ausgangspunkt für die Konfiguration - von MOA-ID-AUTH dienen kann.
Die endorsed Libraries für Tomcat müssen aus dem - Verzeichnis $MOA_ID_INST_AUTH/endorsed in das Tomcat-Verzeichnis - $CATALINA_HOME/common/endorsed kopieren werden. Folgende Libraries - sind für das Deployment im endorsed Verzeichnis vorgesehen: -
- Xerces-J-2.0.2 (bestehend aus xercesImpl.jar - und xmlParserAPIs.jar) - für alle JDKs.
  -
- Nur im Fall von JDK 1.4.1: kopieren sie auch die Xalan-j-2.2 - Libraries ( bestehend aus bsf.jar und xalan.jar).
- Eventuell vorhandene Dateien mit dem gleichen Namen müssen - ersetzt werden.
Folgende Java System Properties sind zu setzen:
-
- moa.id.configuration=Name der MOA ID Konfigurationsdatei. - Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ - SampleMOAIDConfiguration.xml enthalten.
- log4j.configuration=URL der Log4j Konfigurationsdatei. - Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties - enthalten.
- javax.net.ssl.trustStore=Name des Truststores - für vertrauenswürdige SSL Client-Zertifikate (optional; - nur, wenn SSL Client-Authentisierung durchgeführt werden - soll).
- Diese Java System-Properties werden Tomcat über die Umgebungsvariable - CATALINA_OPTS mitgeteilt (Beispiel-Skripte zum Setzen dieser - Properties für Windows und für Unix bzw - Linux finden sie unter $MOA_ID_INST_AUTH/tomcat/win32 bzw. - $MOA_ID_INST_AUTH/tomcat/unix). -

- - -

-

-

Deployment von MOA-ID-PROXY in Tomcat

-Um MOA-ID-PROXY in Tomcat für den Ablauf vorzubereiten, sind folgende Schritte notwendig:
-

Die Datei $MOA_ID_INST_PROXY/moa-id-proxy.war wird in ein - beliebiges Verzeichnis (bspw. $CATALINA_HOME) kopiert. HINWEIS: - Das Verzeichnis darf NICHT $CATALINA_HOME/webapps sein!
-
- Anschliessend muss in der Datei $CATALINA_HOME/conf/server.xml - der Tomcat-Root-Context auf diese Datei gesetzt werden: wenn - das war-file sich in $CATALINA_HOME befindet, geschieht dies - mit dem Einfügen von folgendem Element innerhalb von - <Server>...<Service>...<Engine>...<Host>: -

<Context path="" docBase="../moa-id-proxy.war" debug="0"/>

Die MOA-ID Konfigurationsdatei und die zugehörigen - Verzeichnisse "certs" und "oa" werden in ein beliebiges Verzeichnis - im Filesystem kopiert (z.B. $CATALINA_HOME/ conf/moa-id). -
- In $MOA_ID_INST_PROXY/conf/moa-id befindet sich eine funktionsfähige - Konfiguration, die als Ausgangspunkt für die Konfiguration - von MOA-ID-PROXY dienen kann.
Die endorsed Libraries für Tomcat müssen aus dem - Verzeichnis $MOA_ID_INST_PROXY/endorsed in das Tomcat-Verzeichnis - $CATALINA_HOME/common/endorsed kopiert werden. Folgende Libraries - sind für das Deployment im endorsed Verzeichnis vorgesehen: -
- Xerces-J-2.0.2 (bestehend aus xercesImpl.jar - und xmlParserAPIs.jar)
- Eventuell vorhandene Dateien mit dem gleichen Namen müssen - ersetzt werden.
Folgende Java System Properties sind zu setzen:
-
- moa.id.configuration=Name der MOA ID Konfigurationsdatei. - Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ - SampleMOAIDConfiguration.xml enthalten.
- log4j.configuration=URL der Log4j Konfigurationsdatei. - Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties - enthalten.
- javax.net.ssl.trustStore=Name des Truststores - für vertrauenswürdige SSL Client-Zertifikate - (optional; nur, wenn SSL Client-Authentisierung durchgeführt - werden soll).
- Diese Java System-Properties werden Tomcat über die Umgebungsvariable - CATALINA_OPTS mitgeteilt (siehe Beispiele für Windows - und für Unix/Linux). -
-
- Beispiel-Skripts zum Setzen von CATALINA_OPTS und zum Starten - von Tomcat sind in $MOA_ID_INST_AUTH\tomcat\ zu finden - Sie - können diese für Ihre Zwecke adaptieren (JAVA_HOME - und $CATALINA_HOME setzen) und nach $CATALINA_HOME kopieren. -

- -

- - -

-

-

Starten und Stoppen von Tomcat

Nach dem Deployment und der Konfiguration kann - Tomcat aus seinem Wurzelverzeichnis ($CATALINA_HOME) mit
-

-    startTomcat (unter Windows) oder 
-    moa-id-env.sh
-    bin/catalina.sh start (unter Unix/Linux) 
-

-gestartet werden. Das Stoppen von Tomcat erfolgt analog mit
-

-    bin\catalina stop  (unter Windows) oder 
-    bin/catalina.sh stop (unter Unix/Linux) 
-

-Ein erfolgreicher Startvorgang von MOA-ID-AUTH ist an folgender Log-Meldung ersichtlich:
-

-    INFO | 08 13:33:38,497 | main | 
-    	MOA ID Authentisierung wurde 
-    	erfolgreich gestartet
-

-Analog bei MOA-ID-PROXY:
-

-    INFO | 08 13:35:49,876 | main | 
-    	MOA ID Proxy wurde erfolgreich gestartet
-

- -Nach dem erfolgreichen Starten von Tomcat steht MOA-ID-AUTH unter der URL -

-http(s)://host:port/moa-id-auth/StartAuthentication    
-

-zur Verfügung. Der WebService ist unter -

-http(s)://host:port/moa-id-auth/services/GetAuthenticationData  
-

-erreichbar. Die Verfügbarkeit der Anwendung kann überprüft werden, indem die URLs mit einem Web-Browser aufgerufen werden.
-
-

-Dynamische Konfigurations-Updates
-Dynamische Konfigurations-Updates können für MOA-ID-AUTH durch den Aufruf der URL http://hostname:port/moa-id-auth/ConfigurationUpdate (z.B. durch Eingabe in einem Browser) durchgeführt werden. Analog wird die Konfiguration von MOA-ID-PROXY mittels http://hostname:port/ConfigurationUpdate aktualisiert.

-Hinweis: Konfigurationsänderungen für die Online-Applikationen betreffen grundsätzlich sowohl die Auth- als auch die Proxy-Komponente. -Wenn bspw. das publicURLPrefix der OA geändert wird, muss sowohl für die Auth- als auch für die Proxy-Komponente ein ConfigurationUpdate durchgeführt werden.

-Konnte MOA-ID-AUTH bzw. MOA-ID-PROXY nicht ordnungsgemäß konfiguriert und gestartet werden, geht das aus der Log-Meldung hervor:
-

-FATAL | 03 13:19:06,924 | main | Fehler 
-	beim Starten des Service MOA ID Authentisierung
-

-bzw. -

-FATAL | 03 13:19:06,924 | main | Fehler 
-	beim Starten des Service MOA ID Proxy
-

-In diesem Fall geben die WARN bzw. ERROR Log-Meldungen unmittelbar davor Aufschluss über den genaueren Grund.
-

- - -

-

-

Logging

-Die MOA ID Webapplikation verwendet Jakarta Log4j für die Ausgabe von Log-Meldungen am Bildschirm bzw. in Log-Dateien. Log4j bietet zahlreiche Konfigurationsmöglichkeiten, die ausführlich im Log4j Handbuch beschrieben sind. Unter anderem gibt es die Möglichkeit, folgende Einstellungen vorzunehmen:
-

Das verwendete Log-Level (DEBUG, INFO, WARN, ERROR, FATAL).
Name und maximale Größe der Log-Datei(en).
Das Aussehen der Log-Einträge.

-Es werden folgende Log-Hierarchien verwendet: -

moa.id.auth für alle Log-Meldungen aus dem MOA-ID-AUTH Modul
moa.id.proxy für alle Log-Meldungen aus dem MOA-ID-PROXY Modul
moa.spss.server für alle Log-Meldungen aus dem MOA-SPSS Modul
iaik.server für alle Log-Meldungen aus den IAIK Kryptographie-Modulen

-Als Ausgangspunkt für die Logging-Konfiguration liegt die Datei $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties (bzw. $MOA_ID_INST_PROXY/conf/moa-id/log4j.properties) bei. -Wird diese Datei als Logging-Konfiguration verwendet, so werden alle Log-Meldungen sowohl in die Konsole, als auch in die Datei $CATALINA_HOME/logs/moa-id.log geschrieben. -

-Format der Log-Meldungen
-Anhand einer konkreten Log-Meldung wird das Format der MOA ID Log-Meldungen erläutert: -

-    INFO | 09 08:23:59,385 | Thread-8 | 
-    	Anmeldedaten zu MOASession -5468974113772848113 
-    	angelegt, SAML Artifakt 
-    	AAF/BrdRfnMaQVGIbP/Gf9OwDUwwsXChb7nuT+VXQzOoHbV
-

- -Der Wert INFO besagt, dass die Log-Meldung im Log-Level INFO entstanden ist. Folgende Log-Levels existieren:
-

DEBUG: Log-Meldungen im Log-Level DEBUG geben Auskunft über die innere Arbeitsweise des Systems. Sie sind hauptsächlich für Entwickler interessant.
INFO: Diese Log-Meldungen geben informative Status-Informationen über den Ablauf der Webapplikation, wie z.B., dass eine neue Anfrage eingelangt ist.
WARN: Bei der Ausführung einer Operation sind leichte Fehler aufgetreten. Der Ablauf der Webapplikation ist nicht weiter beeinträchtigt.
ERROR: Die Ausführung einer Operation musste abgebrochen werden. Die Webapplikation ist davon nicht beeinträchtigt.
FATAL: Es ist ein Fehler aufgetreten, der den weiteren Betrieb der Webapplikation nicht mehr sinnvoll macht.

-Der nächste Wert 09 08:23:59,385, gibt den Zeitpunkt an, an dem die Log-Meldung generiert wurde (in diesem Fall den 9. Tag im aktuellen Monat, sowie die genaue Uhrzeit).
-Der Rest der Zeile einer Log-Meldung ist der eigentliche Text, mit dem das System bestimmte Informationen anzeigt. Im Fehlerfall ist häufig ein Java Stack-Trace angefügt, der eine genauere Ursachen-Forschung ermöglicht. -

- - -Wichtige Log-Meldungen
-Neben den im Abschnitt "Starten und Stoppen von Tomcat" beschriebenen Log-Meldungen, die anzeigen, ob die Webapplikation -ordnungsgemäß gestartet wurde, geben nachfolgenden Log-Meldungen Aufschluss über die Abarbeitung von Anfragen. -Die Annahme einer Anfrage wird beispielsweise angezeigt durch: -

-    INFO | 09 08:37:17,663 | Thread-9 | 
-      MOASession 6576509775379152205 angelegt  
-     	
-    INFO | 09 08:37:20,828 | Thread-9 | 
-      Anmeldedaten zu MOASession 6576509775379152205 
-      angelegt, SAML Artifakt 
-      AAF/BrdRfnMaQVGIbP/Gf9OwDUwwsXChb7nuT+VXQzOoHbV
-    
-

- -

-Die 1. Log-Meldung besagt, dass sich ein Benutzer an MOA-ID-AUTH angemeldet und eine eindeutige SessionID zugewiesen bekommen hat.
-Die 2. Log-Meldung informiert darüber, dass die Anmeldedaten des Benutzers unter dem angezeigten SAML Artifakt abgeholt werden können.
-

-Wenn nun versucht wird, eine Transaktion mit einer ungültigen SessionID fortzusetzen erhält man folgende Log-Meldung:
-

-    ERROR | 09 09:34:27,105 | Thread-8 | 
-	at.gv.egovernment.moa.id.AuthenticationException: 
-	MOASessionID ist unbekannt 
-	(MOASessionID=-8650403497547200032)
-

In diesem Fall gibt der mitgeloggte Stacktrace Auskunft - über die Art des Fehlers. Der Aufrufer der MOA ID - Webapplikation bekommt einen Fehlercode sowie eine kurze - Beschreibung des Fehlers als Antwort zurück.
-
- Die Tatsächlich übertragenen Anfragen bzw. Antworten - werden aus Effizienzgründen nur im Log-Level DEBUG - angezeigt.

(*) Die gepatchte Version von tomcat-util.jar ist im - Verzeichnis $MOA_ID_INST_AUTH\tomcat\tomcat-util-4.1.27-patched\ - zu finden.

-

- - - - - - -

-
- - -

- \ No newline at end of file diff --git a/id.server/doc/moa_id/id-admin_2.htm b/id.server/doc/moa_id/id-admin_2.htm deleted file mode 100644 index 3bf2a6892..000000000 --- a/id.server/doc/moa_id/id-admin_2.htm +++ /dev/null @@ -1,824 +0,0 @@ - - - MOA ID-Administration - - - - - - - - - -

- - -

- Module für Online-Applikationen -

- -

-Projekt moa -

-
- - - - - - - -

MOA-ID

- übersicht

- Basis-Installation

- Konfiguration

- Optionale
Komponenten

-
-

- Zurück

-

-

-Konfiguration
von MOA-ID -

-Konfigurationsdatei -

-Parameter-übersicht
-ConnectionParameter
-AuthComponent
-  BKUSelection
-  SecurityLayer
-  MOA-SP
-  IdentityLinkSigners
-ProxyComponent
-OnlineApplication
-  AuthComponent
-  ProxyComponent
-ChainingModes
-TrustedCACertificates
-GenericConfiguration
-
-Konfiguration
der Online-Applikation
-
-Parameter-übersicht
-LoginType
-ParamAuth
-  ParamAuth/Parameter
-BasicAuth
-HeaderAuth
-  HeaderAuth/Header
-
-Konfiguration
von MOA-SP
-
-VerifyTransformsInfoProfile
-TrustProfile
-Certstore
-
-änderung der Konfig.
während des Betriebs
- -
-

- -

Konfiguration von MOA ID v.1.1

Die Konfiguration von MOA ID wird mittels einer XML-basierten - Konfigurationsdatei, die dem Schema MOA-ID-Configuration-1.1.xsd - entspricht, durchgeführt. -

Der Ort der Konfigurationsdatei wird im Abschnitt Deployment - der Web-Applikation in Tomcat beschrieben. -

Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. - MOA-ID-Configuration.xml - zeigt ein Beispiel für eine umfassende Konfigurationsdatei.

Enthält die Konfigurationsdatei relative Pfadangaben, werden - diese relativ zum Verzeichnis, in dem sich die MOA-ID Konfigurationsdatei - befindet, interpretiert.
-

ConnectionParameter
- Das Element ConnectionParameter enthält Parameter, - die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten - benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei - auf und wird daher vorab detailliert beschrieben.
-
- Das Attribut URL enthält die URL der Komponente zu - der die Verbindung aufgebaut werden soll. Wird das Schema https - verwendet, können die Kind-Elemente AcceptedServerCertificates - und ClientKeyStore angegeben werden. Wird das Schema http - verwendet müssen keine Kind-Elemente angegeben werden bzw. - werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt. -
-
- Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server - eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element - ClientKeyStore spezifiziert werden. Im Element ClientKeyStore - wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei) - angegeben. Diesem Keystore wird der private Schlüssel für - die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen - des privaten Schlüssels wird im Attribut ClientKeyStore/@password - konfiguriert.
- Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung - für MOA-ID darstellt, werden clientseitig nur die folgenden - Cipher Suites unterstützt:
-

SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_3DES_EDE_CBC_SHA

- Im Kind-Element AcceptedServerCertificates kann ein Verzeichnisname - (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem - die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In - diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser - Parameter wird lediglich überprüft ob ein Zertifikatspfad - zu den im Element <TrustedCACertificates> angegebenen - Zertifikaten erstellt werden kann. Falls dies nicht möglich ist, - kommt es zu einem Fehlerfall. -

AuthComponent
- AuthComponent enthält Parameter, die nur die MOA-ID - Authentisierungskomponente betreffen. Das Element ist optional - und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID - Authentisierungskomponente installiert wird.
-
- Das Element AuthComponent hat vier Kind-Element: -

BKUSelection (optional)
SecurityLayer
MOA-SP
IdentityLinkSigners

AuthComponent/BKUSelection
- Das optionale Element BKUSelection enthält Parameter - zur Nutzung eines Auswahldienstes für eine Bürgerkartenumgebung - (BKU). Wird das Element nicht angegeben, dann wird die lokale - Bürgerkartenumgebung auf http://localhost:3495/http-security-layer-request - verwendet.
-
- Das Attribut BKUSelectionAlternative gibt an welche - Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterstützt - die Werte HTMLComplete (vollständige HTML-Auswahl) - und HTMLSelect (HTML-Code für Auswahl) ["Auswahl - von Bürgerkartenumge-bungen", Arno Hollosi].
-
- Das Kind-Element ConnectionParameter spezifiziert die - Verbindung zum Auswahldienst (siehe ConnectionParameter), - jedoch kann das Kind-Element ClientKeyStore nicht angegeben - werden.

AuthComponent/SecurityLayer
- Das Element SecurityLayer enthält Parameter - zur Nutzung des Security-Layers.
-
- Das Kind-Element TransformsInfo spezifiziert eine - Transformation, die für die Erstellung der Signatur des - AUTH-Blocks als Parameter in den CreateXMLSignatureRequest - des Security-Layers integriert werden muss. Mehrere unterschiedliche - Implementierungen des Security-Layer können durch die - Angabe mehrerer TransformsInfo-Elemente unterstützt - werden.
-
- Das Attribut TransformsInfo/@filename verweist auf - eine Datei, die das globale Element TransformsInfo - vom Typ TransformsInfo enthält. Die Angabe erfolgt - relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser - Datei muss (anders als im Beispiel) UTF-8 sein.
-
- Beispiel für - eine TransformsInfo-Datei

AuthComponent/MOA-SP
- Das Element MOA-SP enthält Parameter zur Nutzung - von MOA-SP. MOA-SP wird für die überprüfung - der Signatur der Personenbindung und des AUTH-Blocks verwendet. -
-
- Wird das Kind-Element ConnectionParameter angegeben, - dann wird MOA-SP über das Webservice angesprochen.

Wird das Kind-Element ConnectionParameter - nicht angegeben so wird eine MOA-ID beiligende Version von - MOA-SP direkt über das Java-API angesprochen. In diesem - Fall muss das System-Property auf die verwendete Konfigurationsdatei - von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei - ist in $MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml - enthalten.

Hinweis: MOA-SP muss entsprechend konfiguriert - werden - siehe hierzu Abschnitt Konfiguration - von MOA-SP. Alle Details zur Konfiguration von MOA-SP - finden sie in der Distribution von MOA-SP/SS beiligenden - Dokumentation im Abschnitt 'Konfiguration'.
-
- Das Kind-Element VerifyIdentityLink/TrustProfileID - spezifiziert eine TrustProfileID, die für den VerifyXMLSignatureRequest - zur Überprüfung der Signatur der Personenbindung - verwendet werden muss. Diese TrustProfileID muss beim - verwendeten MOA-SP Modul konfiguriert sein.
-
- Die Kind-Elemente VerifyAuthBlock/TrustProfileID - und VerifyAuthBlock/VerifyTransformsInfoProfileID - spezifizieren eine TrustProfileID und eine ID für - ein Transformationsprofil, die für den VerifyXMLSignatureRequest - zur überprüfung der Signatur des Auth-Blocks - verwendet werden müssen. Diese TrustProfileID muss - beim verwendeten MOA-SP Modul konfiguriert sein.

AuthComponent/IdentityLinkSigners -
- Dieses Element gibt an von welchen Signatoren die Signatur - des IdentityLink erstellt werden musste damit der IdentityLink - akzeptiert wird. Für jeden Signator muss der X509SubjectName - nach RFC 2253 spezifiziert werden.
-
- Beispiel -
-
-

ProxyComponent
- ProxyComponent enthält Parameter, die - nur die MOA-ID Proxykomponente betreffen. Das Element - ist optional und muss nicht verwendet werden, wenn auf - dem Server keine MOA-ID Proxykomponente installiert - wird.
-
- Das Element ProxyComponent hat nur das Kind-Element - AuthComponent, das die Verbindung zur Authentisierungs-komponente - beschreibt.
-
- Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente - über ein Webservice auf, dann muss das Element - ConnectionParameter spezifiziert werden.
-
- Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente - über das API auf, dann wird das Element ConnectionParameter - nicht spezifiziert.

OnlineApplication
- Für jede Online-Applikation, die über MOA-ID - authentisiert wird, gibt es ein Element OnlineApplication. - Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, - teils die MOA-ID Proxykomponente, teils beide.
-
- Das Attribut OnlineApplication/@publicURLPrefix - entspricht dem URL-Präfix der nach außen - sichtbaren Domäne der Online-Applikation, welcher - von der MOA-ID Proxykomponente durch den URL-Präfix - der wirklichen Domäne (Attribut OnlineApplication/ProxyComponent/ConnectionParameter/@URL) - ersetzt wird. Es dient als Schlüssel zum Auffinden - der Konfigurationsparameter zur Online-Applikation. -
-
- Das Element OnlineApplication hat optional - zwei Kind-Elemente: AuthComponent und ProxyComponent. -

OnlineApplication/AuthComponent -
- Das Element OnlineApplication/AuthComponent - muss verwendet werden wenn auf dem Server die Authentisierungskomponente - installiert wird. Es enthält Parameter, die - das Verhalten der Authentisierungskomponente bezüglich - der Online-Applikation konfiguriert.
-
- Das Attribut provideZMRZahl bestimmt, ob - die ZMR-Zahl in den Anmeldedaten aufscheint. Analog - steuern die Attribute provideAUTHBlock - und provideIdentityLink, ob die Anmeldedaten - den Auth-Block bzw. die Personenbindung enthalten. - Alle Attribute sind optional und haben den Default-Wert - false.
-
-

OnlineApplication/ProxyComponent -
- Das Element OnlineApplication/ProxyComponent - muss verwendet werden wenn auf dem Server die - Proxykomponente installiert wird.
-
- Das optionale Attribut configFileURL - verweist auf eine Konfigurationsdatei die dem - Schema MOA-ID-Configuration-1.1.xsd - entspricht mit Dokument-Element Configuration. - Die Angabe erfolgt relativ zur verwendeten MOA-ID - Konfigurationsdatei. Beispiel für das Element - configFileURL: "oa/SampleOAConfiguration.xml".
- Defaultmäßig wird versucht die Datei - von der betreffenden OnlineApplikation unter dem - Wert: http://<realURLPrefix>/MOAConfig.xml - zu laden.
- (<realURLPrefix> entspricht dem - Wert von OnlineApplication/ProxyComponent/ConnectionParameter/@URL) -
-
- Das optionale Attribut sessionTimeOut - legt das Timeout einer Benutzersession in der - Proxykomponente in Sekunden fest.
- Default-Wert: 3600
-
- Im optionalen Attribut loginParameterResolverImpl - kann der Klassenname eines zu verwendenden LoginParameterResolver - angegeben werden, welcher die Defaultimplementierung - ersetzt.
-

Im optionelen Attribut loginParameterResolverConfiguration -kann ein Configurationsstring für die - Initialisierung der betreffenden loginParameterResolverImpl - angegeben werden.
-
- Im optionalen Attribut connectionBuilderImpl - kann der Klassenname eines zu verwendenden ConnectionBuilder - angegeben werden, welcher die Defaultimplementierung - ersetzt.
-
- Im Kind-Element ConnectionParameter ist - konfiguriert, wie MOA-ID-PROXY zur Online-Applikation - verbindet.

ChainingModes
- Das Element ChainingModes definiert, - ob bei der Zertifikatspfad-überprüfung - das Kettenmodell ("chaining") oder - das Modell nach PKIX RFC 3280 ("pkix") - verwendet werden soll.
-
- Das Attribut systemDefaultMode spezifiziert - das Modell, das im Standardfall verwendet werden - soll.
-
- Mit dem Kind-Element TrustAnchor kann - für jeden Trust Anchor ein abweichendes - Modell spezifiziert werden. Ein Trust Anchor - ist ein Zertifikat, das in TrustedCACertificates - spezifiziert ist. Ein Trust Anchor wird durch - den Typ <dsig:X509IssuerSerialType> - spezifiziert. Das für diesen Trust Anchor - gültige Modell wird durch das Attribut - mode spezifiziert.
-
- Gültige Werte für die Attribute systemDefaultMode - und mode sind "chaining" und - "pkix".
-
- Beispiel -

TrustedCACertificates
- Das Element TrustedCACertificates - enthält das Verzeichnis (relativ zur - MOA-ID Konfigurationsdatei), das jene Zertifikate - enthält, die als vertrauenswürdig - betrachtet werden. Im Zuge der Überprüfung - der TLS-Serverzertifikate wird die Zertifikatspfaderstellung - an einem dieser Zertifikate beendet.

GenericConfiguration
- Das Element GenericConfiguration - ermöglicht das Setzen von Namen-Werte - Paaren mittels der Attribute name - und value. Die folgende Liste spezifiziert -

gültige Werte für das name-Attribut, -
eine Beschreibung
gültige Werte für das value-Attribut - und (falls vorhanden)
den Default-Wert für das value-Attribut. -

- - - - - - - -

name: DirectoryCertStoreParameters.RootDir
Gibt den Pfadnamen zu einem - Verzeichnis an, das als Zertifikatsspeicher - im Zuge der TLS-Server-Zertifikatsüberprüfung - verwendet wird. - - value: - Gültige Werte: Name eines gültigen - Verzeichnisses (relativ zur MOA-ID Konfigurationsdatei) - Dieser Parameter muss angegeben werden. -

- - - - - - - -

name: AuthenticationSession.TimeOut
Gibt die Zeitspanne in - Sekunden vom Beginn der Authentisierung - bis zum Anlegen der Anmeldedaten an. - Wird die Angegebene Zeitspanne überschritten - wird der Anmeldevorgang abgebrochen. - - - value: - Gültige Werte: positive Ganzzahlen - - Default-Wert: 120

- - - - - - - -

name: AuthenticationData.TimeOut
Gibt die Zeitspanne in - Sekunden an, für die die Anmeldedaten - in der Authentisierungskomponente zum - Abholen durch die Proxykomponente oder - eine nachfolgende Applikation bereitstehen. - Nach Ablauf dieser Zeitspanne werden - die Anmeldedaten gelöscht. - - value: - Gültige Werte: positive Ganzzahlen - Default-Wert: 600

- - - - - - - -

name: TrustManager.RevocationChecking
Für die TLS-Server-Authentisierung - dürfen nur Server-Zertifikate verwendet - werden, die eine CRLDP-Extension enthalten - (andernfalls kann von MOA-ID keine CRL-überprüfung - durchgeführt werden). - Soll das RevocationChecking generell - ausgeschaltet werden, ist dieses Attribut - anzugeben und auf "false" zu setzen. - - - value: - Gültige Werte: true, false - Default-Wert: true

- - - - - - - -

name: FrontendServlets.EnableHTTPConnection

Standardmäßig können - die beiden Servlets "StartAuthentication" - und "SelectBKU" welche das - User-Frontend darstellen, aus Sicherheitsgründen, - nur über das Schema HTTPS aufgerufen - werden.

Wenn die beiden Servlets jedoch auch - Verbindungen nach dem Schema HTTP - entgegennehmen sollen, so kann mittels - dem Attribut "EnableHTTPServletConnection" - erlaubt werden.

Hinweis: Sicher und sinnvoll ist - das Erlauben der HTTP Verbindung nur - dann, wenn ein Vorgeschalteter Webserver - das HTTPS handling übernimmt, - und eine Verbindung zu den Servlets - nur über diesen Webserver möglich - ist.

- value:
- Gültige Werte: true, false
- Default-Wert: false

- - - - - - - -

name: - FrontendServlets.DataURLPrefix

Standardmäßig wird als - DataURL Prefix das URL Präfix - unter dem die MOA-ID Servlets erreichbar - sind verwendet. Im Falle das sich - der MOA-ID Server hinter einer Firewall - befindet und die Requests von einem - vorgelagertem Webserver weitergereicht - werden, kann mit FrontendServlets.DataURLPrefix - ein alternatives URL Präfix angegeben - werden. In diesem Fall muss der Webserver - so konfiguriert sein, dass er Request - auf diese URLs an den MOA-ID Server - weiterleitet.

- value:
- Gültige Werte: URLs nach dem Schema - 'http://' und 'https://'
- Default-Wert: kein Default-Wert
- Beispiel: <GenericConfiguration name="FrontendServlets.DataURLPrefix" - value="https://<your_webserver>/moa-id-auth/"/>

- - -

-

- - - -

-

-

Konfiguration der Online-Applikation

-Die Konfiguration der OA beschreibt die Art und Weise, wie die Proxykomponente die Anmeldung an der Online-Applikation -durchführt. -

-Der Name der Konfigurationsdatei wird in der Konfiguration von MOA-ID als Wert des Attributs -configFileURL des Elements MOA-IDConfiguration/OnlineApplication/ProxyComponent hinterlegt. -
Ist dieses Attribut nicht gesetzt, dann wird die Datei von http://<realURLPrefix>/MOAConfig.xml geladen, -wobei <realURLPrefix> dem Konfigurationswert OnlineApplication/ProxyComponent/ConnectionParameter/@URL entspricht. -

-Die Konfigurationsdatei ist eine XML-Datei, die dem Schema -MOA-ID-Configuration-1.1.xsd mit dem Wurzelelement -Configuration entspricht. -

- -

-LoginType
-Das Element LoginType gibt an, ob die Online-Applikation ein einmaliges Login erwartet (stateful), -oder ob die Login-Parameter bei jedem Request mitgegeben werden müssen (stateless). Im Fall einer stateful -Online-Applikation werden die in der HTTP-Session der Proxykomponente gespeicherten Anmeldedaten nur für den Aufruf -des Login-Scripts verwendet. Unmittelbar nach dem Aufruf werden sie gelöscht. -
-Default-Wert: stateful -

- -

-ParamAuth
-Konfiguriert die übergabe der Authentisierungs-Parameter an die Online-Applikation mittels URL-Parametern. Das Element -kann ein oder mehrere Kind-Elemente <Parameter> beinhalten. -

- -

-ParamAuth/Parameter
-Das Element <Paramter> enthält die Attribute Name und Value. -

-Das Attribut Name beschreibt den Namen des Parameters und ist ein frei zu wählender String. -

-Das Attribut Value beschreibt den Inhalt des Parameters und kann einen der durch MOAAuthDataType beschriebenen -Werte annehmen. Gültige Werte von MOAAuthDataType sind: -

MOAGivenName - der Vorname des Benutzers, wie in der Personenbindung enthalten -
MOAFamilyName - der Nachname des Benutzers, wie in der Personenbindung enthalten -
MOADateOfBirth - das Geburtsdatum des Benutzers, wie in der Personenbindung enthalten -
MOAVPK - die verfahrensspezifische Personenkennzeichnung des Benutzers, wie von der -Authentisierungskomponente berechnet -
MOAPublicAuthority - wird durch true ersetzt, falls der Benutzer mit einem Zertifikat signierte, -welches eine Behördenerweiterung beinhaltet. Andernfalls wird false gesetzt -
MOABKZ - das Behördenkennzeichen (nur sinnvoll, wenn MOAPublicAuthority den Wert true -ergibt) -
MOAQualifiedCertificate - wird durch true ersetzt, falls das Zertifikat des Benutzers -qualifiziert ist, andernfalls wird false gesetzt -
MOAZMRZahl - die ZMR-Zahl des Benutzers; diese ist nur dann verfügbar, wenn die Online-Applikation -die ZMR-Zahl bekommen darf (und daher in der Personenbindung enthalten ist) -
MOAIPAddress - IP-Adresse des Client des Benutzers. -

- -Anhand der <Parameter>-Elemente wird der Request für den Login-Vorgang (für stateful Online-Applikationen) -folgendermaßen zusammenge-stellt: - -GET https://<login-url>? - <p1.name=p1.resolvedValue>& - <p2.name=p2.resolvedValue>... - - -Die <login-url> ergibt sich aus dem Parameter OA des Aufrufs von MOA-ID-AUTH, -zusammen mit der Konfiguration von OnlineApplication/@publicURLPrefix und von OnlineApplication/ProxyComponent/ConnectionParameter/@URL. - Der Wert resolvedValue wird in MOA-ID-PROXY je nach Wert des Platzhalters eingesetzt. - -

- - -BasicAuth -Das Element BasicAuth konfiguriert die übergabe der Authentisierungs-Parameter an die Online-Appliktion -mittels HTTP Basic Authentication. Es enthält zwei Kind-Elemente. - -Das Element UserID gibt die UserId des zu authentisierenden Benutzers an und kann einen der durch -MOAAuthDataType beschriebenen Werte annehmen. - -Das Element Password gibt das Passwort des zu authentisierenden Benutzers an und kann einen der durch -MOAAuthDataType beschriebenen Werte annehmen. - - - - - -HeaderAuth -Das Element HeaderAuth konfiguriert die übergabe der Authentisierungs-Parameter an die Online-Applikation -in HTTP Request Headern. Das Element kann ein oder mehrere Kind-Elemente <Header> beinhalten. - - - - - -HeaderAuth/Header -Das Element <Header> enthält die Attribute Name und Value. - -Das Attribut Name beschreibt den Namen des Header und ist ein frei zu wählender String. - -Das Attribut Value beschreibt den Inhalt des Header und kann einen der durch MOAAuthDataType -beschriebenen Werte annehmen. - -Die Header werden folgendermaßen in den Request an die Online-Applikation eingefügt: - -<h1.name>:<h1.resolvedValue> -<h2.name>:<h2.resolvedValue> -... - -Der Wert resolvedValue wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt. -Etwaige Header aus dem ursprünglichen Request an die Proxykomponente, die denselben Namen haben, müssen -überschrieben werden. - - -

- - -

- - - -

-

-

Konfiguration von MOA-SP

- -

MOA-ID überprüft die Signaturen der Personenbindung und - des AUTH-Blocks mit dem VerifyXMLSignatureRequest von - MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. -
-
- VerifyTransformsInfoProfile
- Der Request zum überprüfen der Signatur des AUTH-Blocks - verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die - im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei - im Element /MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ - VerifyTransformsInfoProfileID definiert. Entsprechend muss - am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender - ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung - von MOA-ID in $MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml - enthalten. Diese Profildefinition muss unverändert übernommen - werden.

- -

-TrustProfile
-Die Requests zur überprüfung der Signatur verwenden vordefinierte TrustProfile. -Die im Request verwendete Profil-IDs werden in der MOA-ID Konfigurationsdatei -in den Elementen /MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyIdentityLink/ TrustProfileID und -/MOA-IDConfiguration/AuthComponent/MOA-SP/VerifyAuthBlock/TrustProfileID definiert. Diese beiden Elemente -können unterschiedliche oder identische TrustProfileIDs enthalten. -Am MOA-SP Server müssen TrustProfile mit gleichlautender ID definiert werden. -Die Auslieferung von MOA-ID enthält das Verzeichnis $MOA_ID_INST_AUTH/conf/moa-spss/trustprofiles/MOAIDBuergerkarteRoot, -das als TrustProfile verwendet werden kann. Weitere Zertifikate können als vertrauenswürdig hinzugefügt werden. -

- -

-Certstore
-Zum Aufbau eines Zertifikatspfades können benötigte Zertifikate aus einem Zertifikatsspeicher verwendet werden. -Die Auslieferung von MOA-ID enthält das Verzeichnis $MOA_ID_INST_AUTH/conf/moa-spss/certstore, das als initialer -Zertifikatsspeicher verwendet werden kann. -

- -

- - -

- - - -

-

-

Änderung der Konfiguration während des Betriebs

-Der Inhalt dieser Konfiguration, bzw. jene Teile, auf die indirekt verwiesen wird, können während des laufenden -Betriebes des MOA-Servers geändert werden. Der Server selbst wird durch den Aufruf einer URL -(im Applikationskontext von MOA ID) dazu veranlasst, die geänderte Konfiguration neu einzulesen. -Im Falle einer fehlerhaften neuen Konfiguration wird die ursprüngliche Konfiguration beibehalten. -

- - -

-

- - - - - - -

-
- - -

- \ No newline at end of file diff --git a/id.server/doc/moa_id/id-admin_3.htm b/id.server/doc/moa_id/id-admin_3.htm deleted file mode 100644 index 3a0bce74c..000000000 --- a/id.server/doc/moa_id/id-admin_3.htm +++ /dev/null @@ -1,204 +0,0 @@ - - - MOA ID-Administration - - - - - - - - - -

- - -

- Module für Online-Applikationen -

- -

-Projekt moa -

-
- - - - - - -

MOA-ID

- Übersicht

- Basis-Installation

- Konfiguration

- Optionale
Komponenten

-
-

- Zurück

-
-

-Optionale
Komponenten
-IIS
-Apache
-PostgreSQL
-

Konfiguration der optionalen Komponenten

Konfiguration des Microsoft Internet Information Server (optional)

-Vor MOA-ID-AUTH oder MOA-ID-PROXY kann optional ein MS IIS vorgeschaltet sein. In diesem Fall übernimmt der MS IIS die HTTP bzw. HTTPS-Kommunikation mit dem Aufrufer des Webservices. Die Kommunikation zwischen MS IIS und dem in Tomcat deployten Webservice wird durch Jakarta mod_jk durchgeführt.

-Konfiguration von Jakarta mod_jk im MS IIS
-Für die Kommunikation des MS IIS mit dem im Tomcat deployten Webservice wird das ISAPI-Modul von Jakarta mod_jk im MS IIS installiert und konfiguriert. Eine detaillierte Installations- und Konfigurationsanleitung gibt das mod_jk IIS HowTo. Beispiele für workers.properties und uriworkermap.properties Dateien liegen im ausgelieferten moa-id-auth-x.y.zip bzw. moa-id-proxy-x.y.zip, Verzeichnis tomcat bei. -

-Konfiguration von Tomcat
-Damit Tomcat die Aufrufe, die von MS IIS mittels Jakarta mod_jk weiterleitet, entgegennehmen kann, muss in $CATALINA_HOME/conf/server.xml der AJP 1.3 Connector aktiviert werden. Im Gegenzug können die Connectoren für HTTP und HTTPS deaktiviert werden. Das geschieht am einfachsten durch ein- bzw. auskommentieren der entsprechenden Connector Konfigurations-Elemente in dieser Datei. -

-

Konfiguration von SSL
- Die Dokumentation zum Einrichten von SSL auf dem MS IIS steht nach - Installation des IIS unter http://localhost/iisHelp/ bzw. online - zur Verfügung.

Konfiguration des zu verwendenden DATA-URL - Präfix
- Befindet sich der Rechner auf dem MOA-ID installiert wird hinter - einer Firewall welche zwar Zugriffe vom vorgelagerten Webserver - zulässt, nicht jedoch direkte Zugriffe (von den Rechnern von - MOA-ID Benutzern), so muss manuell in der Konfigurationsdatei von - MOA-ID ein s.g. DATA-URL Präfix vergeben werden. An dieses - URL-Präfix werden Daten von der verwendeten Bürgerkartenumgebung - gesendet. Details finden sie im Abschnitt Konfiguration. - Requests an das DataURL-Präfix> müssen durch den Webserver - an https://<moa-id-rechnername>/moa-id-auth/ bzw. an http://<moa-id-rechnername>/moa-id-auth/ - weitergeleitet werden.

-

- - -

- - - -

-

-

Konfiguration des Apache Webservers (optional)

-Vor MOA-ID-AUTH oder MOA-ID-PROXY kann ein Apache Webserver vorgeschaltet sein. Das Prinzip funktioniert wie bei MS IIS, auch hier wird Jakarta mod_jk für die Kommunikation zwischen Webserver und Tomcat eingesetzt. -

-Konfiguration von Jakarta mod_jk im Apache Webserver
- Um MOA-ID-AUTH oder MOA-ID-PROXY hinter einem Apache Webserver zu betreiben, ist die Konfiguration des Apache-Moduls mod_jk erforderlich. Eine detaillierte Installations- und Konfigurationsanleitung gibt das mod_jk Apache HowTo. Ein Beispiel für eine workers.properties Datei liegt im Verzeichnis $MOA_SPSS_INST/conf/moa bei.
-Um MOA-ID-AUTH oder MOA-ID-PROXY dem Apache Webserver bekannt zu machen, muss folgender Eintrag in die Apache Konfigurationsdatei gemacht werden: -

-    JkMount /moa-id-auth/* moaworker
-

-oder für die Proxy-Komponente -

-    JkMount /* moaworker
-

-
-Konfiguration von Tomcat
-Die Konfiguration von Tomcat ist analog wie im Abschnitt über den MS IIS durchzuführen. -

- -Konfiguration von SSL mit mod_SSL
-Apache kann in Verbindung mit mod_SSL als SSL-Endpunkt für das MOA-ID-AUTH Webservice fungieren. In diesem Fall entfällt die SSL-Konfiguration in Tomcat, da Apache und Tomcat auch im Fall von SSL Daten via mod_jk austauschen. Eine detaillierte Installations- und Konfigurationsanleitung von mod_SSL gibt die Online-Dokumentation. -

-Bei der Verwendung von Client-Authentisierung muss darauf geachtet werden, dass mod_ssl die HTTP-Header mit den Informationen über das Client-Zertifikat exportiert. Dies wird durch Angabe der Option
-

-    SSLOptions +ExportCertData +StdEnvVars
-

-in der Apache-Konfiguration erreicht.
-Weiters muss Jakarta mod_jk angewiesen werden, die SSL Schlüssellänge zu exportieren. Dies geschieht mit der Direktive: -

-    JkOptions +ForwardKeySize 
-              +ForwardURICompat 
-              -ForwardDirectories
-

Konfiguration des zu verwendenden DATA-URL Präfix

siehe gleichnamige Überschrift - in Abschnitt "Konfiguration des Microsoft Internet Information - Server (optional)"

-

- - -

- - - -

Konfiguration von PostgreSQL

-MOA-ID-AUTH bzw. MOA-ID-PROXY kann PostgreSQL zum Abspeichern von Log-Meldungen verwenden. Hierfür wird eine installierte und konfigurierte Datenbank vorausgesetzt. Eine detaillierte Übersicht über die Installation und Konfiguration von PostgreSQL gibt die Online-Dokumentation.

-Logging
-Für das Logging in eine PostgreSQL Datenbank mittels Jakarta Log4j muss zunächst eine Tabelle für die Log-Meldungen angelegt werden. Dies kann mit folgendem SQL-Statement erreicht werden: -

-    create table spss_log 
-      (log_time timestamp, 
-       log_level varchar(5), 
-       log_msg varchar(256));
-

-Um das Logging in die Datenbank Log4j bekannt zu machen, muss die Log4j-Konfiguration adaptiert werden. Die Datei $MOA_SPSS_INST/conf/moa/log4.properties enthält bereits eine beispielhafte Jakarta Log4j-Konfiguration für das Logging in eine PostgreSQL Datenbank, die standardmäßig ausgeschaltet ist. Hinweis: Bei Tests hat sich das Logging in eine Datenbank mit Jakarta Log4j als Performance-Engpaß herausgestellt. Es wird deshalb empfohlen, auf dieses Feature zu verzichten. -

-

- -

-

- - - - - - -

-
- - -

- \ No newline at end of file diff --git a/id.server/doc/moa_id/id-anwendung.htm b/id.server/doc/moa_id/id-anwendung.htm deleted file mode 100644 index 6e33f40e8..000000000 --- a/id.server/doc/moa_id/id-anwendung.htm +++ /dev/null @@ -1,104 +0,0 @@ - - - MOA ID-Anwendung - - - - - - - - - - -

- - -

- Module für Online-Applikationen -

- -

-Projekt moa -

-
- - - - - - -

MOA-ID

- Übersicht

- Aufruf MOA-ID-AUTH

- Abfrage MOA-ID-AUTH

-
-

- Zurück

-
-

MOA ID-Anwendung

-MOA-ID führt für eine Online-Applikation (OA) die Benutzeridentifizierung und -authentisierung mit Hilfe der Bürgerkarte durch. -

Übersicht

-Um diese Funktionalität verfügbar zu machen, ist folgendermaßen vorzugehen:
-

Die OA muss als Webapplikation installiert werden.
MOA-ID-AUTH muss als Webapplikation installiert und für die OA konfiguriert werden.
MOA-ID-AUTH wird durch einen Verweis von einer Webseite aufgerufen. -Diese Webseite kann z.B. Teil eines Portals sein.
Nach erfolgter Authentisierung holt die OA die bereitgestellten Anmeldedaten zum Bürger von MOA-ID-AUTH ab. -Dies kann unter Mithilfe der Webapplikation MOA-ID-PROXY geschehen, die für diesen Zweck installiert und für die OA konfiguriert werden muss.

-
- - - - - - -

-
- - -

- - diff --git a/id.server/doc/moa_id/id-anwendung_1.htm b/id.server/doc/moa_id/id-anwendung_1.htm deleted file mode 100644 index 81c4ecc9e..000000000 --- a/id.server/doc/moa_id/id-anwendung_1.htm +++ /dev/null @@ -1,182 +0,0 @@ - - - MOA ID-Anwendung - - - - - - - - - -

- - -

- Module für Online-Applikationen -

- -

-Projekt moa -

-
- - - - - - - -

MOA-ID

- Übersicht

- Aufruf MOA-ID-AUTH

- Abfrage MOA-ID-AUTH

-
-

- Zurück

-

-

Aufruf von MOA-ID-AUTH

MOA-ID-AUTH wird immer durch eine andere (verweisende) Webseite aufgerufen. Diese Webseite kann z.B. Teil eines Portals sein. -Der Aufruf erfolgt durch einen Verweis der Form:

<a href="https://<moa-id-server-und-pfad>/
-StartAuthentication?Target=<geschäftsbereich>
-&OA=<oa-url>&Template=<template-url>">

- - - - - - - - - - - - - - -

<moa-id-server-und-pfad>	Server und Pfad, wo MOA-ID-AUTH installiert ist
Target=<geschäftsbereich>	Angabe, für welches Verfahren der Benutzer authentisiert werden soll (siehe TODO: Link auf Verzeichnis der Geschäftsbereich)
OA=<oa-url>	Webseite, auf die der Browser nach erfolgter Authentisierung weitergeleitet werden soll
Template=<template-url>	optional; HTML-Vorlage für der Anmeldeseite von MOA-ID-AUTH, über die der Bürger den Authentisierungsvorgang startet. Über diesen Parameter kann das Aussehen der Anmeldeseite an das Aussehen der Online-Applikation angepasst werden.

-

- -

-Template

-Ein Template für die Anmeldeseite von MOA-ID-AUTH kann aus folgender Grundstruktur aufgebaut werden:

-<form name="CustomizedForm" action="<BKU>" method="post">
- <input type="hidden"
-        name="XMLRequest"
-        value="<XMLRequest>"/>
- <input type="hidden"
-        name="DataURL"
-        value="<DataURL>"/>
- <input type="submit" value="Bürgerkarte lesen"/>
-</form>
-<form name="CustomizedInfoForm"
- action="<BKU>"
- method="post">
- <input type="hidden"
-        name="XMLRequest"
-        value="<CertInfoXMLRequest>"/>
- <input type="hidden"
-        name="DataURL"
-        value="<CertInfoDataURL>"/>
-Hier finden Sie weitere Informationen 
-zur Überprüfung der Zertifikate.<br/>
- <input type="submit" value="Weitere Info"/>
-</form>
-

- -

Innerhalb dieser <form>-Elemente können Texte, Beschriftungen und Styles modifiziert werden, -und es können zusätzliche Elemente darin aufgenommen werden. -

-Die vorgegebene Grundstruktur ist aber in jedem Fall einzuhalten, und es müssen die speziellen -Tags <BKU> (kommt 2x vor), <XMLRequest>, <DataURL>, <CertInfoXMLRequest> und <CertInfoDataURL> -darin enthalten sein. -

-

- -

-BKU-Auswahl

-MOA-ID-AUTH bietet die Möglichkeit, die Bürgerkartenumgebung (BKU) auszuwählen, über die in weiterer Folge die Bürgerkarte ausgelesen wird. Der Aufruf erfolgt dann durch einen Verweis der Form:

<a href="https://<moa-id-server-und-pfad>/
-SelectBKU?Target=<geschäftsbereich>
-&OA=<oa-url>&Template=<template-url>
-&BKUSelectionTemplate=<bku-template-url>">

- - - - - -

BKUSelectionTemplate= <bku-template-url>

optional; HTML-Vorlage für der BKU-Auswahlseite von MOA-ID-AUTH. -Über diesen Parameter kann das Aussehen der BKU-Auswahlseite an das Aussehen der Online-Applikation angepasst werden.

-

- -

-BKUSelectionTemplate

-Ein Template für die BKU-Auswahl von MOA-ID-AUTH kann aus folgender Grundstruktur aufgebaut werden:

-<form name="CustomizedForm" method="post" action="<StartAuth>">
- <BKUSelect>
- <input type="submit" value="Auswählen"/>
-</form>
-

Innerhalb dieser <form>-Elemente können Texte, Beschriftungen und Styles modifiziert werden, -und es können zusätzliche Elemente darin aufgenommen werden. -

-Auch dabei ist die vorgegebene Grundstruktur einzuhalten, die speziellen Tags <StartAuth> und <BKUSelect> sind verpflichtend. -

-

- - -

- - - - - - -

-
- - -

- - diff --git a/id.server/doc/moa_id/id-anwendung_2.htm b/id.server/doc/moa_id/id-anwendung_2.htm deleted file mode 100644 index 1ffeb4c08..000000000 --- a/id.server/doc/moa_id/id-anwendung_2.htm +++ /dev/null @@ -1,249 +0,0 @@ - - - MOA ID-Anwendung - - - - - - - - - -

- - -

- Module für Online-Applikationen -

- -

-Projekt moa -

-
- - - - - - - -

MOA-ID

- Übersicht

- Aufruf MOA-ID-AUTH

- Abfrage MOA-ID-AUTH

-
-

- Zurück

-

-

-Abfragearten: -
-Web Service
-MOA-ID-PROXY
-

Abfrage der Anmeldedaten von MOA-ID-AUTH

Nach erfolgter Authentisierung stehen in MOA-ID-AUTH Anmeldedaten zum Abholen bereit, -und MOA-ID-AUTH veranlasst einen Redirect zur Online-Applikation (OA). -

-In diesem Redirect werden der Geschäftsbereich und ein SAML-Artifact als Parameter übergeben. -

<a href="https://<oa-url>
-?Target=<geschäftsbereich>
-&SAMLArtifact=<saml-artifact>">

- - - - - -

<oa-url>	URL, der beim Aufruf von MOA-ID-AUTH als Parameter "OA" übergeben wurde
Target=<geschäftsbereich>	Parameter, der beim Aufruf von MOA-ID-AUTH übergeben wurde
SAMLArtifact=<saml-artifact>	SAML-Artifact, das von MOA-ID-AUTH zu den Anmeldedaten erstellt wurde. -Mithilfe dieses SAML-Artifacts kann die OA die Anmeldedaten von MOA-ID-AUTH abholen.

-

-

Grundsätzlich stehen einer OA mehrere Arten zum Abholen der Anmeldedaten von MOA-ID-AUTH zur Verfügung:

Die Applikation ruft selbst das MOA-ID-AUTH Web Service auf. -
Die Implementierung dieser Variante wird empfohlen, insbesondere für Online-Applikationen, die neu erstellt werden. -
Es wird die MOA-ID-PROXY Webapplikation eingesetzt, um die Anmeldedaten abzuholen und an die OA zu übergeben. -
Aus Sicht von MOA-ID-PROXY ist bedeutsam, ob die OA die Anmeldedaten nach Abarbeitung des HTTP-Requests behält. -
- Stateful OA: MOA-ID-PROXY übergibt einmalig die Anmeldedaten an die OA, und die OA speichert die Anmeldedaten, typischerweise unter Einsatz von Cookies.
- Stateless OA: MOA-ID-PROXY übergibt die Anmeldedaten bei jedem HTTP-Request vom Browser des Bürgers an die OA.
-Diese Variante ist vorzuziehen, wenn -
- für die Plattform, auf der die OA aufbaut, Web Service-Schnittstellen nicht verfügbar sind
- das nötige Web Service-Know How nicht zur Verfügung steht
- die Implementierung von Variante 1 zu aufwändig wäre
- eine Anpassung der OA aus bestimmten Gründen nicht möglich ist
-

- - - -

-

-

Aufruf des MOA-ID-AUTH Web Service

Das MOA-ID-AUTH Web Service wird über einen <samlp:Request> aufgerufen. -Der <samlp:Request> enthält in einem <samlp:AssertionArtifact> das von MOA-ID-AUTH übergebene SAML-Artifact. -

-MOA-ID-AUTH liefert als Antwort einen <samlp:Response>. Die Anmeldedaten sind im <samlp:Response> in Form einer <saml:Assertion> enthalten. -

-SAML 1.0 Protocol Schema -
-SAML 1.0 Assertion Schema -
-Der detaillierte Aufbau der <saml:Assertion> zu den Anmeldedaten ist in der Spezifikation MOA-ID 1.1 beschrieben. -

-

Beispiel LoginServletExample

-Das Abholen der Anmeldedaten durch Aufruf des Web Service von MOA-ID-AUTH wird anhand eines beispielhaften Java Servlet gezeigt. -Das LoginServletExample wird in einer Stateful OA von MOA-ID-AUTH nach erfolgter Authentisierung über Redirect aufgerufen. -

-Das Beispiel demonstriert insgesamt die Integration von MOA-ID-AUTH in die OA: -

Parameterübergabe von MOA-ID-AUTH an die OA
Aufruf des MOA-ID-AUTH Web Service mittels des SOAP Frameworks "Apache AXIS"
Parsen der Anmeldedaten mittels der XPath Engine "Jaxen"
Speichern der Anmeldedaten in der HTTPSession
Redirect auf die eigentliche Startseite der OA

- - -Voraussetzungen
-

Die folgende Liste enthält die für das Beispiel erforderlichen Java-Bibliotheken. Die angeführten Versionsnummern bezeichnen jene Versionen dieser Java-Bibliotheken, mit denen das Beispiel getestet wurde.

-
- - - - - - - - - - - - - - - - - - - - - - -

Java-Bibliothek	Version	Bemerkung
JDK	1.3 bzw. 1.4.1	Java Development Kit
Xerces XML Parser	2.0.2+	nicht nötig wenn JDK 1.4 oder höher verwendet wird - Download: xml.apache.org/xerces2-j
AXIS SOAP Framework	1.0+	Download: xml.apache.org/axis
Jaxen XPath Engine	1.0+	Download: http://jaxen.sourceforge.net
JSSE	1.0.3+	wenn eine SSL Verbindung verwendet wird, nicht nötig ab JDK 1.4 Download: java.sun.com/products/jsse
Servlet API	2.3+	Download: java.sun.com/products/servlet

-
-Code
-LoginServletExample - -

- -

- - - -

- - -

-

-

Einsatz von MOA-ID-PROXY zum Abfragen der Anmeldedaten von MOA-ID-AUTH

-Anstatt den Aufruf des MOA-ID-AUTH Web Service in der OA zu implementieren, kann die MOA-ID-PROXY Webapplikation eingesetzt werden, um dies für die OA zu erledigen. MOA-ID-PROXY muss für die OA konfiguriert werden, so wie in MOA-ID-Administration beschrieben. -

-Bei der Konfiguration ist speziell zu beachten: -

-Konfigurationsdatei zur OA
-Der LoginType (stateful oder stateless) ist gemäß dem Applikationstyp zu setzen. -

-Die Übergabe der Anmeldedaten ist in Form und Inhalt zu konfigurieren. -

BasicAuth: HTTP Basic Authentication (Beispiel)
ParamAuth: Übergabe über Requestparameter (Beispiel)
HeaderAuth: Übergabe über Requestheader (Beispiel)

- -

-LoginParameterResolver
-Das Übergabe der Anmeldedaten an die OA über Request Parameter oder Header geschieht in einer Standardimplementierung des Interface -

at.gv.egovernment.moa.proxy.LoginParameterResolver

-Falls die Erfordernisse der OA mittels Konfiguration nicht abgedeckt werden können, -so kann eine maßgeschneiderte Implementierung von LoginParameterResolver erstellt und zusammen mit MOA-ID-PROXY zum Einsatz gebracht werden -(siehe API). -

-ConnectionBuilder -Das Herstellen einer URL-Verbindung von MOA-ID-PROXY zur OA geschieht einer Standardimplementierung des Interface -

at.gv.egovernment.moa.proxy.ConnectionBuilder

-Falls nötig, kann eine maßgeschneiderte Implementierung von ConnectionBuilder erstellt und zusammen mit MOA-ID-PROXY zum Einsatz gebracht werden -(siehe API). -

- - - - - -

-
- - -

- - diff --git a/id.server/doc/moa_id/links.htm b/id.server/doc/moa_id/links.htm deleted file mode 100644 index c5a9b7113..000000000 --- a/id.server/doc/moa_id/links.htm +++ /dev/null @@ -1,141 +0,0 @@ - - - MOA Grundlagen - - - - - - - - - -

- - -

- Module für Online-Applikationen -

- -

-Projekt moa -

-
- - - - - - -

MOA Links

- Ext. Komponenten

- Administration

- Anwendung

- Spezifikationen

-
-

- Zurück

-
- -

MOA Links

- -

Externe Komponenten

- -

Apache
-http://httpd.apache.org/docs-2.0

- -

Internet Information Server
-http://www.microsoft.com/windows2000/en/server/iis/default.asp

- -

Tomcat
-http://jakarta.apache.org/tomcat/tomcat-4.1-doc

- -

Tomcat mod_SSL
-http://httpd.apache.org/docs-2.0/ssl

- -

Tomcat mod_jk
-http://jakarta.apache.org/tomcat/tomcat-4.1-doc/jk2

- -

Logging Toolkit
-http://jakarta.apache.org/log4j/docs/

- -

IAIK JCE
-http://jce.iaik.tugraz.at/products/index.php

- -

PostgreSQL
-http://techdocs.postgresql.org

- -

Spezifikationen

DOM
-http://www.w3c.org/DOM

- -

E-Government
-http://reference.e-government.gv.at

- -

Security Layer Version 1.1
-http://www.buergerkarte.at/konzept/securitylayer/spezifikation/2002083

- -

Personenbindung Version 1.1
-http://www.buergerkarte.at/konzept/personenbindung/spezifikation/20020506

- -

Security Assertion Markup Language
-http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security

- -

Auswahl von Bürgerkartenumgebungen Version 1.0.0
-bku-auswahl.20030408.pdf

- -

- - - - - - - -

-
- - -

- - \ No newline at end of file diff --git a/id.server/doc/moa_id/moa-id-ablauf.jpg b/id.server/doc/moa_id/moa-id-ablauf.jpg deleted file mode 100644 index 0585664f4..000000000 Binary files a/id.server/doc/moa_id/moa-id-ablauf.jpg and /dev/null differ diff --git a/id.server/doc/moa_id/moa.htm b/id.server/doc/moa_id/moa.htm deleted file mode 100644 index 4ffab01d5..000000000 --- a/id.server/doc/moa_id/moa.htm +++ /dev/null @@ -1,247 +0,0 @@ - - - MOA Module fuer Online Applikationen - - - - - - - - - -

- - - - -

- Module für Online-Applikationen -

- -

-Projekt moa -

-
- - - - - - - - -

MOA-ID

- Allgemein

- ID Administration

- ID Anwendung

- API-Dokumentation

- FAQs

- Links

-
-

- Zurück

-
-

Allgemein v.1.1

-Dieses Dokument enthält die Dokumentation für das Modul
-

MOA-ID (Identifikation)

- -

- - - -

-Das Modul Identifikation stellt Online-Applikationen Funktionalität zur Verfügung zu stellen, damit diese -eine Benutzer-Identifikation und -Authentisierung mit Hilfe der Bürgerkarte und deren Signaturfunktion -realisieren können. -

-Das Modul besteht aus zwei Komponenten: -

Die Authentisierungskomponente (MOA-ID-AUTH) führt die eigentliche Authentisierung des Benutzers durch und übergibt der -Proxykomponente die Anmeldedaten.
Die Proxykomponente (MOA-ID-PROXY) übernimmt die Anmeldedaten von der Authentisierungskomponente, -führt die Anmeldung an der Online Applikation durch und schleust in der Folge Daten an die Online-Applikation -und Daten an den Benutzer durch.

-Diese beiden Komponenten können auf unterschiedlichen Rechnern -oder auf dem gleichen Rechner eingesetzt werden. -

-Die Funktionalität und der Aufbau der Schnittstelle zu MOA-ID ist in der -Spezifikation Version 1.1 detailliert beschrieben. -

-Für den Betrieb von MOA-ID ist der Einsatz von MOA-Signaturprüfung (MOA-SP) erforderlich. -

- -

-

Ablauf einer Anmeldung

-
- -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

1	Der Benutzer verbindet sich zu einem Web-Portal, über das die verfügbaren Online-Applikationen (OA) erreichbar -sind. Jeder Link zu einer OA verweist auf die Authentisierungs-komponente. -
2	Der Benutzer verbindet sich mit MOA-ID-AUTH, die die Authentisierung des -Benutzers durchführt:
2.1	MOA-ID-AUTH bietet dem Benutzer optional eine Auswahl von verfügbaren Bürgerkartenumgebungen (engl. Bezeichnung: Security-Layer) an.
2.2	MOA-ID-AUTH erzeugt eine HTML-Seite mit einem `<InfoboxReadRequest>` - zum Auslesen der Personenbindung. Diese HTML-Seite wird an den Browser geschickt.
2.3	Der Browser schickt den `<InfoboxReadRequest>` an den ausgewählten Security-Layer. Der Security-Layer liest die -Personenbindung von der Bürgerkarte und sendet diese an MOA-ID-AUTH, die die Signatur der Personenbindung durch -einen Aufruf von MOA-SP überprüft. -
2.4	MOA-ID-AUTH erstellt den AUTH-Block. Der AUTH-Block enthält - - Vor- und Nachname aus der Personenbindung, - URL von MOA-ID-AUTH, - URL und Geschäftsbereich der Online-Applikation, - die aktuelle Zeit. - -Anschließend wird -eine XML Antwortseite, die das Kommando zum Signieren (`<CreateXMLSignatureRequest>`) des generierten -AUTH-Blocks enthält, an den ausgewählten Security-Layer gesendet.
2.5	Der Request wird vom Security-Layer verarbeitet. Die signierten Daten werden an -MOA-ID-AUTH zurückgesendet.
2.6	MOA-ID-AUTH überprüft den signierten AUTH-Block und legt für den Benutzer die Anmeldedaten -an. Die Anmeldedaten enthalten - - die verfahrensspezifische Personenkennzeichnung (VPK), - den signierten AUTH-Block (optional), - die Personenbindung (optional), - die `PersonData`-Struktur aus der Personenbindung (optional), - die Information, ob die Signatur des AUTH-Blocks mit einem qualifiziertem Zertifikat erfolgte, - Informationen zur Behörde, falls die Signatur mit einem Behördenzertifikat erzeugt wurde. - -
2.7	Ist der obige Authentisierungsvorgang erfolgreich, dann wird eine Redirect-Seite -zum Browser gesendet.
3	Der Browser führt das Redirect zur Proxykomponente durch. Als Parameter wird das von MOA-ID-AUTH -erzeugte SAML-Artifact übergeben.
4	Die Proxykomponente verwendet dieses eindeutige SAML-Artifact, um die Anmeldedaten -von MOA-ID-AUTH zu erhal-ten. Danach werden die Anmeldedaten in MOA-ID-AUTH gelöscht.
5	MOA-ID-PROXY liest die Konfigurationsdatei der zugehörigen Online-Applikation, die beschreibt, wie die Anmeldedaten -an die nachfolgende Applikation übergeben werden müssen, und meldet den Benutzer bei der Applikation an.
6	Ist die betreffende OA als stateless konfiguriert, so werden in weiterer Folge die Antworten der OA -an den Benutzer weitergeleitet und die Anfragen des Benutzers an die OA weitergeleitet.

- - -

-

- - - - - -

-
- - -

- - \ No newline at end of file -- cgit v1.2.3

- Name: -	- -
- Zeit: -	- .., :: -
- Applikation: -	- -
- GeschÃ¤ftsbereich: -	- -
- Anmeldeserver: -	- -