From 53a9b41048d9c5db633321906b9e14dc4a99624e Mon Sep 17 00:00:00 2001 From: Thomas Lenz Date: Fri, 24 Jul 2015 12:26:46 +0200 Subject: update first parts of MOA-ID 3.x handbook --- id/server/doc/handbook/config/config.html | 248 +----------------------------- 1 file changed, 6 insertions(+), 242 deletions(-) (limited to 'id/server/doc/handbook/config/config.html') diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html index 18be88951..d20f3f546 100644 --- a/id/server/doc/handbook/config/config.html +++ b/id/server/doc/handbook/config/config.html @@ -170,7 +170,7 @@
  • Allgemeine Konfiguration des Modules MOA-ID-Auth
  • Konfiguration von Online-Applikationen
    • -

    Optional kann nach dem Schritt 3 Basiskonfiguration des Modules MOA-ID-Auth eine bestehende MOA-ID 1.5.1 Konfiguration importiert werden. Für bestehende Konfigurationen < 1.5.1 wird eine vollständige Neukonfiguration empfohlen.

    +

    Optional kann nach dem Schritt 3 Basiskonfiguration des Modules MOA-ID-Auth eine bestehende MOA-ID 2.x.x Konfiguration importiert werden. Für bestehende Konfigurationen < 2.x.x wird eine vollständige Neukonfiguration empfohlen.

    2 Basiskonfiguration

    Die Basiskonfiguration für die Module MOA-ID-Auth und MOA-ID-Configuration erfolgt mit Hilfe textueller properties-Dateien. Diese properties-Dateien beinhalten alle Konfigurationsparameter welche für den Start der Module erforderlich sind und müssen der Java Virtual Machine durch eine System Property mitgeteilt werden. Alle Änderungen die an der Basiskonfiguration vorgenommen werden erfordern einen Neustart der jeweiligen Java Virtual Machine.

    Hinweis: Alle URL Konfigurationsparameter auf Dateien ohne den Prefix file:/ werden als relative Pfadangaben zum Konfigurationsbasisverzeichnis des jeweiligen Modules interpretiert.

    @@ -178,7 +178,8 @@

    Dieser Abschnitt behandelt die Basiskonfiguration des Modules MOA-ID-Configuration. Der erste Teilabschnitt behandelt die Bekanntmachung der Konfigurationsdatei mittels einer System Property und der zweite Teilabschnitt beschreibt die einzelnen Konfigurationsparameter im Detail. Eine Konfiguration die als Ausgangspunkt für die individuelle Konfiguration verwendet werden kann finden Sie hier.

    2.1.1 Bekanntmachung der Konfigurationsdatei

    Die zentrale Konfigurationsdatei von MOA-ID-Configuration wird der Java Virtual Machine, in der MOA-ID-Configuration läuft, durch eine System Property mitgeteilt (wird beim Starten der Java Virtual Machine in der Form -D<name>=<wert> gemacht). Der Name der System Property lautet moa.id.webconfig als Wert der System Property ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.

    -
    moa.id.webconfig=C:/Programme/apache/tomcat-4.1.30/conf/moa-id-configuration/moa-id-configuration.properties
    +
    WINDOWS: moa.id.webconfig=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-id-configuration/moa-id-configuration.properties
+UNIX: moa.id.webconfig=file:C:/Programme/apache/tomcat-4.1.30/conf/moa-id-configuration/moa-id-configuration.properties

    Weitere Informationen zum Bekanntmachen der zentralen Konfigurationsdatei für MOA-ID-Configuration erhalten Sie in Abschnitt 2.1.2.4 des Installationshandbuchs.

    2.1.2 Konfigurationsparameter

    Aus Gründen der Übersichtlichkeit werden die einzelnen Konfigurationsparameter in logisch zusammenhängende Blöcke unterteilt. Die Konfiguration der Blöcke Allgemeine Konfigurationsparameter und Datenbankzugriff sind nicht optional und müssen für den Betrieb angepasst werden.

    @@ -190,26 +191,11 @@ Beispielwert Beschreibung - - general.login.deaktivate - true / false - Hiermit kann die Authentifizierung am Konfigurationstool deaktiviert werden. Diese Funktion ist für die Initialisierung des Modules erforderlich. - - - general.publicURLContext - https://demo.egiz.gv.at/moa-id-configuration/ - Public URL Prefix unter dem das Module MOA-ID-Configuration erreichbar ist - - - general.moaid.instance.url - https:/demo.egiz.gv.at/moa-id-auth/ - Public URL Prefix unter dem die zu konfigurierende MOA-ID-Auth Instanz erreichbar ist. Dieser Parameter wird für die Vorschau der BKU Auswahlskonfiguration benötigt. - general.defaultlanguage de, en

    Hiermit kann die Sprache, welche für die Darstellung der Texte verwendet wird, festgelegt werden.

    -

    Hinweis: Aktuell wird nur Deutsch (de) oder Englisch (en) unterstützt.

    +

    Hinweis: Aktuell wird nur Deutsch (de) oder Englisch (en) unterstützt.

    general.ssl.certstore @@ -233,11 +219,6 @@

    Hiermit kann die Schemavalidierung für konfigurierte PVP Metadaten deaktiviert werden.

    Hinweis: Standardmäßig ist die Schemavalidierung aktiv. - - general.userrequests.cleanup.delay - 18 - Innerhalb dieses Zeitraums muss ein neuer Benutzer die im Benutzerprofil hinterlegte eMail Adresse validieren. -
    2.1.2.3 Datenbankzugriff

    Diese Konfigurationsparameter sind nicht optional und müssen in der Konfigurationsdatei enthalten sein und individuell angepasst werden. Für die Beispielkonfiguration wurde mySQL als Datenbank verwendet wodurch sich die Konfigurationsparameter auf mySQL beziehen. Das Modul MOA-ID-Configuration kann jedoch auch mit Datenbanken anderer Hersteller betrieben werden. Hierfür wird jedoch auf die Hibernate Dokumention verwiesen, welches im Module MOA-ID-Configuration für den Datenbankzugriff verwendet wird.

    @@ -275,193 +256,6 @@

     

    Die Beispielkonfiguration beinhaltet noch zusätzliche Konfigurationsparameter für den Datenbankzugriff welche direkt aus der Beispielkonfiguration übernommen werden können. Eine detaillierte Beschreibung der einzelnen Einstellungsparameter kann der Hibernate Dokumention entnommen werden.

    -
    2.1.2.4 Bürgerkarten LogIn
    -

    Zusätzlich zur Authentifizierung mittels Benutzername und Passwort unterstützt das Modul MOA-ID-Configuration auch eine Authentifizierung mittels Bürgerkarte oder Handy-Signatur unter Verwendung des Authentifizierungsprotokolls PVP2.1. Wenn eine Authentifizierung mittels Bürgerkarte oder Handy-Signatur gewünscht wird müssen die nachfolgen Parameter konfiguriert werden.

    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    NameBeispielwertBeschreibung
    general.login.pvp2.isactivetrue /falseAktiviert oder deaktiviert die Authentifizierung mittels PVP2.1
    general.login.pvp2.idp.metadata.urlhttps://demo.egiz.gv.at/moa-id-auth/
    - pvp2/metadata    		URL unter der die PVP2.1 Metadaten des IDP abgeholt werden können.
    general.login.pvp2.idp.metadata.certificatekeys/moa_idp.crtZertifikat mit dem die PVP2.1 Metadaten des IDP signiert sind. Dieses Zertifikat wird zur Prüfung der IDP Metadaten verwendet.
    general.login.pvp2.idp.metadata.entityIDhttps://demo.egiz.gv.at/moa-id-auth/EntityID des IDP in den Metadaten (Details siehe PVP2.1 Spezifikation)
    general.login.pvp2.idp.sso.logout.urlhttps://demo.egiz.gv.at/moa-id-auth/LogOut?redirect=
    - https://demo.egiz.gv.at/moa-id-configuration    		URL zum Single Log-Out (SLO) Service des IDP. Details zum SLO Service von MOA-ID-Auth finden Sie hier.
    general.login.pvp2.metadata.entities.nameMOA-ID 2.x Configuration ToolName der Applikation, welcher in den Metadaten der Applikation angegeben wird
    general.login.pvp2.keystore.urlkeys/application[password].p12Keystore mit Schlüssel und Zertifikaten welche für das signieren und verschlüsseln der PVP2.1 Nachrichten verwendet werden sollen.
    general.login.pvp2.keystore.passwordpasswordPasswort des Keystores
    general.login.pvp2.keystore.typePKCS12

    Type des Keystores. Aktuell werden folgende Keystore Typen unterstützt

    -
      -
    • PKCS12: PKCS12 Keystore
      • -
    • JKS: Java-Keystore
      • -
    general.login.pvp2.keystore.metadata.key.aliaspvp_metadataName des Schlüssels der zum Signieren der Metadaten des Modules MOA-ID-Configuration verwendet werden soll
    general.login.pvp2.keystore.metadata.key.passwordpasswordPasswort des Schlüssels der zum Signieren der Metadaten verwendet werden soll.
    general.login.pvp2.keystore.authrequest.encryption.key.aliaspvp_encryptionName des Schlüssels der zum Verschlüsseln der Anmeldeinformation, welche vom IDP an das Konfigurationstool übermittelt, verwendet werden soll
    general.login.pvp2.keystore.authrequest.encryption.key.passwordpasswordPasswort des Schlüssels zum Verschlüsseln der Anmeldeinformation.
    general.login.pvp2.keystore.authrequest.key.aliaspvp_requestName des Schlüssels zum Signieren des Authentifizierungsrequests der an den IDP gestellt wird.
    general.login.pvp2.keystore.authrequest.key.passwordpasswordPasswort des Schlüssels zum Signieren des Authentifizierungsrequests.
    -

     

    -

    Die Metadaten des Modules MOA-ID-Configuration werden dynamisch erstellt und stehen unter folgender URL zum Download bereit.

    -
    -http://<host>:<port>/moa-id-configuration/servlet/metadata
    -

    bzw.

    -
    -https://<host>:<port>/moa-id-configuration/servlet/metadata
    -
    2.1.2.5 Mailversand
    -

    Das Modul MOA-ID-Configuration bietet die Möglichkeit zur Generierung von automatischen Statusmeldungen welche via eMail versendet werden. Diese Statusmeldungen betreffen die Aktivierung neuer Online-Applikationen oder Benutzeraccounts und die Verifikation von eMail Adressen welche einem Benutzeraccount zugeordnet sind. Detailinformationen hierzu finden Sie im Abschnitt Benutzerverwaltung.

    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    NameBeispielwertBeschreibung
    general.mail.hostdemomail.gv.atURL des SMTP Services zum Mailversand
    general.mail.host.port Port an dem der SMTP Service erreichbar ist. Sollte kein Port angegeben werden wird automatisch das Port 25 verwendet.
    general.mail.host.username Benutzername für den SMTP Zugriff
    general.mail.host.password Passwort für den SMTP Zugriff
    general.mail.from.nameMOA-ID 2.x KonfigurationstoolName des Absenders der Statusmeldungen
    general.mail.from.addressno-reply@demo.egiz.gv.ateMail Adresse des Absenders
    general.mail.admin.adressadmin@demo.egiz.gv.atAn diese Adresse werden Statusmeldungen an den Administrator des Modules MOA-ID-Configuration versendet
    general.mail.admin.subjectStatusmeldungBetreff einer Statusmeldungs eMail
    general.mail.admin.adresses.templatemail/admin_template.htmlTemplate für die Generierung der Statusmeldungs eMail
    general.mail.useraccountrequest.verification.subjectBenutzerverifikationBetreff der eMail zur Verifikation von Benutzer eMail-Adressen
    general.mail.useraccountrequest.verification.templatemail/verification_template.htmlTemplate der eMail zur Verifikation von Benutzer eMail-Adressen
    general.mail.useraccountrequest.isactive.subjectBenutzeraktivierungBetreff der eMail über die Aktivierung/Deaktivierung des Benutzeraccounts
    general.mail.useraccountrequest.isactive.templatemail/activation_template.htmlTemplate der eMail zur Aktivierung eines Benutzeraccounts
    general.mail.useraccountrequest.rejected.templatemail/rejected_template.htmlTemplate der eMail zur Deaktivierung eines Benutzeraccounts
    general.mail.createOArequest.isactive.subjectOnline-ApplikationsaktivierungBetreff der eMail zur Aktivierung der Online-Applikation
    general.mail.createOArequest.isactive.templatemail/oa_activation_template.htmlTemplate der eMail zur Aktivierung der Online-Applikation
    -

     

    2.1.3 Initialisierung des Modules MOA-ID-Configuration

    Für den ersten Start muss die Authentifizierung deaktiviert werden (siehe general.login.deaktivate Abschnitt 2.2.2.1). Anschließend kann die Benutzerverwaltung des Modules MOA-ID-Configuration unter der folgenden Adresse aufgerufen werden.

    http://<host>:<port>/moa-id-configuration/secure/usermanagementInit.action
    @@ -570,7 +364,8 @@ https://<host>:<port>/moa-id-configuration/secure/usermanagementInit

    Dieser Abschnitt behandelt die Basiskonfiguration des Modules MOA-ID-Auth. Der erste Teilabschnitt behandelt die Bekanntmachung der Konfigurationsdatei mittels einer System Property und der zweite Teilabschnitt beschreibt die einzelnen Konfigurationsparameter im Detail. Eine Konfiguration die als Ausgangspunkt für die individuelle Konfiguration verwendet werden kann finden Sie hier.

    2.2.1 Bekanntmachung der Konfigurationsdatei

    Die zentrale Konfigurationsdatei von MOA-ID-Configuration wird der Java Virtual Machine, in der MOA-ID-Configuration läuft, durch eine System Property mitgeteilt (wird beim Starten der Java Virtual Machine in der Form -D<name>=<wert> gemacht). Der Name der System Property lautet moa.id.webconfig als Wert der System Property ist der Pfad sowie der Name der Konfigurationsdatei im Dateisystem anzugeben, z.B.

    - 
    moa.id.configuration=C:/Programme/apache/tomcat-4.1.30/conf/moa-id/moa-id.properties
    + 
    Windows: moa.id.configuration=file:/C:/Programme/apache/tomcat-4.1.30/conf/moa-id/moa-id.properties
+UNIX: moa.id.configuration=file:C:/Programme/apache/tomcat-4.1.30/conf/moa-id/moa-id.properties

    Weitere Informationen zum Bekanntmachen der zentralen Konfigurationsdatei für MOA-ID-Auth erhalten Sie in Abschnitt 2.1.2.3 des Installationshandbuchs.

    2.2.2 Konfigurationsparameter

    Aus Gründen der Übersichtlichkeit werden die einzelnen Konfigurationsparameter in logisch zusammenhängende Blöcke unterteilt.

    @@ -2237,37 +2032,6 @@ Alle in diesem Abschnitt angegebenen Parameter sind Optional und werden bei Beda

     

    Hinweis: Bei Verwendung einer online-applikationsspezifischen B\FCrgerkartenauswahl stehen alle Parameter die die B\FCrgerkartenauswahl betreffen nicht zur Verf\FCgung.

    Hinweis: Bei Verwendung eines online-applikationsspezifischen Security-Layer-Request Templates stehen alle Parameter die das SL-Template betreffen nicht zur Verf\FCgung.

    -
    3.2.8.2 Fremd-bPK Konfiguration
    -

    Dieser Konfigurationsparameter ermöglicht die Konfiguration eines Key Stores, welcher im Falle einer Anmeldung mittels Single Sign-On Interfederation zur Entschlüsselung einer verschlüsselten Fremd-bPK verwendet werden soll. Hierfür sind folgende Konfigurationsparameter notwenig.

    - - - - - - - - - - - - - - - - - - - - - - - - - - -
    NameBeispielwertBeschreibung
    KeyStore hochladen Dateiname des Java Keystore oder PKCS12 Keystore welcher den privaten Schlüssel zur Entschlüsselung von Fremd-bPKs beinhaltet.
    KeyStore PasswordpasswordPasswort zum Keystore
    Schlüsselnamepvp_metadataName des Schlüssels der zum Entschlüsseln der Fremd-bPK verwendet werden soll
    SchlüsselpasswordpasswordPasswort des Schlüssels der zum Entschlüsseln der Fremd-bPK verwendet werden soll
    -

     

    -

    Hinweis: Diese Konfiguration ist jedoch nur nötig wenn die für das Modul MOA-ID-Auth Interfederation verwendet und von weiteren Identity Providern in der Federation Fremd-bPKs übermittelt werden welche bereits im Modul MOA-ID-Auth entschlüsselt werden sollen (z.B. bei Verwendung von SAML 1 als Authentifizierungsprotokoll). Bei Verwendung von PVP 2.1 und OpenID Connect kann die Fremd-bPK auch direkt an die Online Applikation weitergeben werden wodurch eine Entschlüsselung auf Seiten des Modules MOA-ID-Auth nicht zwingend notwendig ist.

    3.3 Import / Export

    \DCber diese Funktionalit\E4t besteht die M\F6glichkeit eine bestehende MOA-ID 1.5.1 Konfiguration in MOA-ID 2.0 zu importieren. Zus\E4tzlich besteht die M\F6glichkeit eine MOA-ID-Auth 2.0 -- cgit v1.2.3